为 OnePlus 6 构建 LineageOS 22.2 并在使用 KernelSU 的情况下锁定 Bootloader 本文最后修改于 2025 年 5 月 14 日,某些内容随着时间的推移可能不再适用。
本文假设操作者拥有足够的知识编译一个 ROM,并且使用的网络能够连接到 GitHub 等服务。
准备工作
一台 OnePlus 6 (代号 enchilada);
一台搭载 Ubuntu 24.02 LTS 的具备超过 400GB 硬盘的主机;
能够访问 GitHub 的网络连接,我们需要下载超过 100GB 的文件。
参考链接
LineageOS 适用于 OnePlus 6 的自行构建指南 LineageOS 的自签名指南 XDA 上的使用自签名的 LOS 重新锁定 OnePlus 6T 上的引导加载程序 XDA 上的使用 LOS 18.1 自签名版本重新锁定 OnePlus 8T 上的引导加载程序 XDA 上的使用 LOS 19.1 自签名版本重新锁定 Google Pixel 5 上的引导加载程序 XDA 上 @DevelLevel 的经验
开始动手! 1. 下载 LineageOS 的源码 根据链接1 repo sync 运行完成为止。
2. 集成 MindTheGapps(可选) 这一步不是必须的,但如果想使用 GApps,则必须在源码中集成,直接安装可刷入的 GApps 包会导致锁定 Bootloader 后无法启动。
至于为什么使用 MindTheGapps,是因为只有这个一直更新,并且能够方便的集成到 AOSP。
编辑 ~/android/lineage/.repo/manifests/default.xml 文件,加入以下内容:
1 2 <remote name ="MindTheGapps" fetch ="https://gitlab.com/MindTheGapps/" /> <project path ="vendor/gapps" name ="vendor_gapps" remote ="MindTheGapps" revision ="vic" />
其中,vic 分支是适用于 Android 15 的 GApps,如果需要其他版本的 GApps,则需要修改为对应分支。分支名称可以在 MindTheGapps 的 GitLab 仓库 找到。
文件修改完成后,使用 repo sync 同步代码。代码同步完成后,将以下内容添加到 ~/android/lineage/device/oneplus/enchilada/device.mk 文件的末尾:
1 include vendor/gapps/ arm64/arm64-vendor.mk
3. 下载 OnePlus 6 的内核等特定设备文件 这个步骤可以参考 LineageOS 的教程 ,也可以选择 TheMuppets 整理好的文件。为了方便,我们选择后者。
运行以下命令从 GitHub 下载文件:
1 2 3 cd ~/android/lineage/clone -b lineage-22.2 --depth=1 https://github.com/TheMuppets/proprietary_vendor_oneplus_enchilada.git vendor/oneplus/enchiladaclone -b lineage-22.2 --depth=1 https://github.com/TheMuppets/proprietary_vendor_oneplus_sdm845-common.git vendor/oneplus/sdm845-common
4. 生成签名密钥 要锁定 Bootloader,设备必须支持自定义信任根,而自定义信任根的证书必须由用户——也就是我们自己——生成并刷入手机。所以,我们首先需要生成用于签名的密钥。
密钥只需要生成一次,之后可以一直使用。
根据链接2 subject 命令代表个人信息,按照自己的需求更改。
首先设置证书信息:
1 2 3 4 5 6 cd ~/android/lineage'/C=CN/ST=Beijing/L=Beijing/O=Individual/OU=Personal/CN=DreamVoid/emailAddress=i@dreamvoid.me' mkdir ~/.android-certsfor cert in bluetooth cyngn-app media networkstack nfc platform releasekey sdk_sandbox shared testcert testkey verity; do \$cert "$subject " ; \done
将 RSA 位数从 2048 改为 4096:
1 2 cp ./development/tools/make_key ~/.android-certs/'s|2048|4096|g' ~/.android-certs/make_key
生成密钥:
1 2 3 4 5 for apex in com.android.adbd com.android.adservices com.android.adservices.api com.android.appsearch com.android.appsearch.apk com.android.art com.android.bluetooth com.android.btservices com.android.cellbroadcast com.android.compos com.android.configinfrastructure com.android.connectivity.resources com.android.conscrypt com.android.devicelock com.android.extservices com.android.graphics.pdf com.android.hardware.authsecret com.android.hardware.biometrics.face.virtual com.android.hardware.biometrics.fingerprint.virtual com.android.hardware.boot com.android.hardware.cas com.android.hardware.neuralnetworks com.android.hardware.rebootescrow com.android.hardware.wifi com.android.healthfitness com.android.hotspot2.osulogin com.android.i18n com.android.ipsec com.android.media com.android.media.swcodec com.android.mediaprovider com.android.nearby.halfsheet com.android.networkstack.tethering com.android.neuralnetworks com.android.nfcservices com.android.ondevicepersonalization com.android.os.statsd com.android.permission com.android.profiling com.android.resolv com.android.rkpd com.android.runtime com.android.safetycenter.resources com.android.scheduling com.android.sdkext com.android.support.apexer com.android.telephony com.android.telephonymodules com.android.tethering com.android.tzdata com.android.uwb com.android.uwb.resources com.android.virt com.android.vndk.current com.android.vndk.current.on_vendor com.android.wifi com.android.wifi.dialog com.android.wifi.resources com.google.pixel.camera.hal com.google.pixel.vibrator.hal com.qorvo.uwb; do \'/C=CN/ST=Beijing/L=Beijing/O=Individual/OU=Personal/CN=' $apex '/emailAddress=i@dreamvoid.me' ; \$apex "$subject " ; \in ~/.android-certs/$apex .pk8 -inform DER -nocrypt -out ~/.android-certs/$apex .pem; \done
将 .pk8 格式的私钥转换为 .key 格式:
1 2 cd ~/.android-certsin releasekey.pk8 -inform DER -out releasekey.key -nocrypt
5. 进行一次 LineageOS 的 userdebug 版本的签名构建 我们直接根据 LineageOS 的教程 操作即可。
现在,我们可以在 ~/android/lineage 中找到 signed-ota_update.zip,这就是我们自签名的刷机包。现在就可以试试这个包,也可以直接继续接下来的步骤。
6. 修改 LineageOS 中的代码 本节提到的目录和文件除使用绝对路径或另有说明外,均基于 LineageOS 根目录,即 ~/android/lineage。
修改任何代码之前,先创建我们需要的工作目录:
1 2 3 mkdir ~/android/enchiladamkdir ~/android/enchilada/patchesmkdir ~/android/enchilada/pkmd
(1) 修改 enchilada 的 BroadConfig.mk LineageOS 22.2 构建时 Soong 默认不信任工作目录之外的文件,这就导致我们的签名密钥无法直接使用,所以我们把密钥目录挂载到工作目录内:
1 2 mkdir ~/android/lineage/device/oneplus/enchilada/android-keysbind ~/.android-certs ~/android/lineage/device/oneplus/enchilada/android-keys
在 device/oneplus/enchilada/BroadConfig.mk 文件中,添加以下行(来自此处 ):
1 2 3 4 5 6 7 8 9 10 $(DEVICE_PATH) /android-keys/releasekey.key
上述修改内容中提到的 $(DEVICE_PATH)/android-keys 代表挂载之后的密钥目录,任何在 ~/.android-certs 进行的修改都会同步到此目录中。每次重新启动系统时都需要挂载一次。
(2) 修改 sdm845-common 的 BoardConfigCommon.mk(可选) 修改这个的作用是启用 LineageOS 默认禁用的分区验证,我们已经集成了 KernelSU 和 GApps,所以我们可以开启分区验证。
在 device/oneplus/sdm845-common/BoardConfigCommon.mk 文件中,找到并注释以下行:
1 2 #BOARD_AVB_MAKE_VBMETA_IMAGE_ARGS += --set_hashtree_disabled_flag #BOARD_AVB_MAKE_VBMETA_IMAGE_ARGS += --set_verification_disabled_flag
原始文件没有前导 # 号,我们加上 # 号代表注释这两行。
(3) 修改 AOSP 的 Makefile 下载这个文件 到 ~/android/enchilada/patches 中。
前往 build/core 目录应用这个文件:
1 2 cd ~/android/lineage/build/core
(4) 将 vendor 镜像加入签名列表 提取 OxygenOS 11 的最新版本的 payload.bin 文件并解压出 img 镜像,找到 oem_stanvbk.img 文件,将其复制到 vendor/oneplus/enchilada/radio 目录。
找到 vendor/oneplus/enchilada/Android.mk 文件,将以下内容添加到 endif 行之前,其他行之后(请无视文件顶部的DO NOT MODIFY,没什么好担心的):
1 $(call add -radio -file ,radio / oem_stanvbk .img )
7. 安装 KernelSU-Next(可选) 这一步不是必须的,但如果想在锁定 Bootloader 后使用 root 权限,则此时安装 KernelSU-Next 是最好的选择。
前往内核目录:
1 cd ~/android/lineage/kernel/oneplus/sdm845
安装 KernelSU-Next 最新发行版:
1 curl -LSs "https://raw.githubusercontent.com/rifsxd/KernelSU-Next/next/kernel/setup.sh" | bash -
8. 构建 LineageOS 的 user 版本 要构建 user 版本而不是 userdebug 版本,首先需要修改默认的构建配置。
构建配置默认存放在 Lineage 根目录中的 build 文件夹内,我们首先复制一份默认配置:
1 2 cd ~/android/lineage/buildcp buildspec.mk.default buildspec.mk
之后,修改 buildspec.mk 文件,找到 TARGET_BUILD_VARIANT:=user 删除前面的 # 号。
现在,按照正常流程构建 LineageOS:
1 2 3 4 5 cd ~/android/lineagesource build/envsetup.sh
构建完成后,签名:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 croot$HOME /.android-certs/releasekey \$HOME /.android-certs/releasekey \$HOME /.android-certs/releasekey \$HOME /.android-certs/releasekey \$HOME /.android-certs/releasekey \$HOME /.android-certs/releasekey \$HOME /.android-certs/releasekey \$HOME /.android-certs/releasekey \$HOME /.android-certs/releasekey \$HOME /.android-certs/releasekey \$HOME /.android-certs/releasekey \$HOME /.android-certs/com.android.adbd \$HOME /.android-certs/com.android.adservices \$HOME /.android-certs/com.android.adservices.api \$HOME /.android-certs/com.android.appsearch \$HOME /.android-certs/com.android.appsearch.apk \$HOME /.android-certs/com.android.art \$HOME /.android-certs/com.android.bluetooth \$HOME /.android-certs/com.android.btservices \$HOME /.android-certs/com.android.cellbroadcast \$HOME /.android-certs/com.android.compos \$HOME /.android-certs/com.android.configinfrastructure \$HOME /.android-certs/com.android.connectivity.resources \$HOME /.android-certs/com.android.conscrypt \$HOME /.android-certs/com.android.devicelock \$HOME /.android-certs/com.android.extservices \$HOME /.android-certs/com.android.graphics.pdf \$HOME /.android-certs/com.android.hardware.authsecret \$HOME /.android-certs/com.android.hardware.biometrics.face.virtual \$HOME /.android-certs/com.android.hardware.biometrics.fingerprint.virtual \$HOME /.android-certs/com.android.hardware.boot \$HOME /.android-certs/com.android.hardware.cas \$HOME /.android-certs/com.android.hardware.neuralnetworks \$HOME /.android-certs/com.android.hardware.rebootescrow \$HOME /.android-certs/com.android.hardware.wifi \$HOME /.android-certs/com.android.healthfitness \$HOME /.android-certs/com.android.hotspot2.osulogin \$HOME /.android-certs/com.android.i18n \$HOME /.android-certs/com.android.ipsec \$HOME /.android-certs/com.android.media \$HOME /.android-certs/com.android.media.swcodec \$HOME /.android-certs/com.android.mediaprovider \$HOME /.android-certs/com.android.nearby.halfsheet \$HOME /.android-certs/com.android.networkstack.tethering \$HOME /.android-certs/com.android.neuralnetworks \$HOME /.android-certs/com.android.nfcservices \$HOME /.android-certs/com.android.ondevicepersonalization \$HOME /.android-certs/com.android.os.statsd \$HOME /.android-certs/com.android.permission \$HOME /.android-certs/com.android.profiling \$HOME /.android-certs/com.android.resolv \$HOME /.android-certs/com.android.rkpd \$HOME /.android-certs/com.android.runtime \$HOME /.android-certs/com.android.safetycenter.resources \$HOME /.android-certs/com.android.scheduling \$HOME /.android-certs/com.android.sdkext \$HOME /.android-certs/com.android.support.apexer \$HOME /.android-certs/com.android.telephony \$HOME /.android-certs/com.android.telephonymodules \$HOME /.android-certs/com.android.tethering \$HOME /.android-certs/com.android.tzdata \$HOME /.android-certs/com.android.uwb \$HOME /.android-certs/com.android.uwb.resources \$HOME /.android-certs/com.android.virt \$HOME /.android-certs/com.android.vndk.current \$HOME /.android-certs/com.android.vndk.current.on_vendor \$HOME /.android-certs/com.android.wifi \$HOME /.android-certs/com.android.wifi.dialog \$HOME /.android-certs/com.android.wifi.resources \$HOME /.android-certs/com.google.pixel.camera.hal \$HOME /.android-certs/com.google.pixel.vibrator.hal \$HOME /.android-certs/com.qorvo.uwb \$HOME /.android-certs/com.android.adbd.pem \$HOME /.android-certs/com.android.adservices.pem \$HOME /.android-certs/com.android.adservices.api.pem \$HOME /.android-certs/com.android.appsearch.pem \$HOME /.android-certs/com.android.appsearch.apk.pem \$HOME /.android-certs/com.android.art.pem \$HOME /.android-certs/com.android.bluetooth.pem \$HOME /.android-certs/com.android.btservices.pem \$HOME /.android-certs/com.android.cellbroadcast.pem \$HOME /.android-certs/com.android.compos.pem \$HOME /.android-certs/com.android.configinfrastructure.pem \$HOME /.android-certs/com.android.connectivity.resources.pem \$HOME /.android-certs/com.android.conscrypt.pem \$HOME /.android-certs/com.android.devicelock.pem \$HOME /.android-certs/com.android.extservices.pem \$HOME /.android-certs/com.android.graphics.pdf.pem \$HOME /.android-certs/com.android.hardware.authsecret.pem \$HOME /.android-certs/com.android.hardware.biometrics.face.virtual.pem \$HOME /.android-certs/com.android.hardware.biometrics.fingerprint.virtual.pem \$HOME /.android-certs/com.android.hardware.boot.pem \$HOME /.android-certs/com.android.hardware.cas.pem \$HOME /.android-certs/com.android.hardware.neuralnetworks.pem \$HOME /.android-certs/com.android.hardware.rebootescrow.pem \$HOME /.android-certs/com.android.hardware.wifi.pem \$HOME /.android-certs/com.android.healthfitness.pem \$HOME /.android-certs/com.android.hotspot2.osulogin.pem \$HOME /.android-certs/com.android.i18n.pem \$HOME /.android-certs/com.android.ipsec.pem \$HOME /.android-certs/com.android.media.pem \$HOME /.android-certs/com.android.media.swcodec.pem \$HOME /.android-certs/com.android.mediaprovider.pem \$HOME /.android-certs/com.android.nearby.halfsheet.pem \$HOME /.android-certs/com.android.networkstack.tethering.pem \$HOME /.android-certs/com.android.neuralnetworks.pem \$HOME /.android-certs/com.android.nfcservices.pem \$HOME /.android-certs/com.android.ondevicepersonalization.pem \$HOME /.android-certs/com.android.os.statsd.pem \$HOME /.android-certs/com.android.permission.pem \$HOME /.android-certs/com.android.profiling.pem \$HOME /.android-certs/com.android.resolv.pem \$HOME /.android-certs/com.android.rkpd.pem \$HOME /.android-certs/com.android.runtime.pem \$HOME /.android-certs/com.android.safetycenter.resources.pem \$HOME /.android-certs/com.android.scheduling.pem \$HOME /.android-certs/com.android.sdkext.pem \$HOME /.android-certs/com.android.support.apexer.pem \$HOME /.android-certs/com.android.telephony.pem \$HOME /.android-certs/com.android.telephonymodules.pem \$HOME /.android-certs/com.android.tethering.pem \$HOME /.android-certs/com.android.tzdata.pem \$HOME /.android-certs/com.android.uwb.pem \$HOME /.android-certs/com.android.uwb.resources.pem \$HOME /.android-certs/com.android.virt.pem \$HOME /.android-certs/com.android.vndk.current.pem \$HOME /.android-certs/com.android.vndk.current.on_vendor.pem \$HOME /.android-certs/com.android.wifi.pem \$HOME /.android-certs/com.android.wifi.dialog.pem \$HOME /.android-certs/com.android.wifi.resources.pem \$HOME /.android-certs/com.google.pixel.camera.hal.pem \$HOME /.android-certs/com.google.pixel.vibrator.hal.pem \$HOME /.android-certs/com.qorvo.uwb.pem \$OUT /obj/PACKAGING/target_files_intermediates/*-target_files*.zip \
签名完成后,打包:
1 2 3 4 ota_from_target_files -k ~/.android-certs/releasekey \true \
现在,就可以将 signed-ota_update.zip 刷入手机,任意方法均可使用。(TWRP 永远的神)
刷入完成后,最好先启动一次系统。如果哪里出现了问题,而未进入系统就直接锁定 Bootloader,会导致手机再也无法启动到系统,也无法解锁,从而变砖,只能通过 9008 线刷救砖。
9. 生成并刷入 avb_custom_key 生成 avb_custom_key:
1 avbtool extract_public_key --key ~/.android-certs/releasekey.key --output ~/pkmd.bin
可以在用户主目录找到 pkmd.bin 文件。现在将手机重启到 Bootloader 模式准备刷入此文件。
如果事先刷过别的 key,使用以下命令清除:
1 fastboot erase avb_custom_key
之后,使用以下命令刷入我们的 Key:
1 fastboot flash avb_custom_key pkmd.bin
最后,重启一次 Bootloader,然后锁定 Bootloader:
1 2 fastboot reboot bootloader
在手机上确认锁定后,手机会自动重启,经过一次 Lineage Recovery 的 Wipe Data 后,我们就可以开始使用锁定了 Bootloader 并且带有 KernelSU-Next 和 GApps 的 LineageOS 了。
已知问题
经过测试,集成 KernelSU-Next 后,KSUN 管理器无法获取 root 权限,查阅 logcat 并尝试将 SELinux 设为宽容模式后得知为 SELinux 规则问题,且就算设为宽容模式也无法授予 root 给其他软件。
经过测试,TEE 仍然不可用,密钥认证演示提示错误代码 -10003。此项尚未经过更广泛的测试(即非 LineageOS 是否也是如此)