1. 创建应用需要映射的目录

mkdir /mnt/user/appdata/qbittorrent
cd /mnt/user/appdata/qbittorrent/
mkdir -p config data

2. 创建docker

WEB_PORT=8082
BT_PORT=8999
docker run -d --name qbittorrent \
-e PUID=$UID \
-e PGID=$GID \
-e WEB_PORT=8082 \
-e BT_PORT=8999 \
--restart=always \
-p $WEB_PORT:$WEB_PORT -p $BT_PORT:$BT_PORT/tcp -p $BT_PORT:$BT_PORT/udp \
-v /mnt/user/appdata/qbittorrent/config:/config \
-v /mnt/user/appdata/qbittorrent/data:/data \
-v /mnt/user/downloads:/downloads \
80x86/qbittorrent:4.2.1-amd64

访问： http://192.168.x.x:8082/
账号： admin adminadmin

其他细节和设置可以参考：
https://post.smzdm.com/p/a992mwxo/

maxLevel,subMaxLevel是docsify中的两个重要的参数，用来控制整个文档站左侧导航菜单的层级。

作用

maxLevel:控制着左侧的菜单的总层级.
subMaxLevel:表示由文档内容中的标题自动生成菜单的级别，从第一级起算。例如subMaxLevel取2，表示一共两级，所以实际只显示第二级（##），因为第一级默认跟外层的入口同级，显示外层的名字。

数值关系

maxLevel>=1
subMaxLevel>=1 && subMaxLevel<maxLevel

嵌入式下实现TLS支持原理

我们知道要实现https，MQTT等协议时，要求通讯安全，客户端就必须实现tls证书的支持。

但是日常我们打来电脑和手机浏览器访问https网站，好像并不需要关注tls的问题？

答案是因为浏览器厂商已经帮助我们兼容好了，但当你要通过嵌入式IOT设备或者单片机实现https访问的时候，你就需要处理TLS证书的问题了。

因为ESP32的开源代码比较清晰简洁，所以我们今天的讲解，以ESP32为硬件平台。其他硬件也是类似的原理，你只要实现自己的过程，替换底层的socket接口就可以实现类似的效果。

此文通过对关键代码的详细讲解，说明在ESP32下支持TLS证书的实现原理和过程。以此原理和过程作为参考，用户也可以实现其他嵌入式硬件和单片机的TLS证书支持，因为ESP的证书的内容和代码都是源码可见的，在弄懂了后就可以很好的移植和仿制。

ESP32 HTTPS demo

官方的例子见 \examples\protocols\https_request，举例了三种支持TLS的方式：

    https_get_request_using_crt_bundle();
    https_get_request_using_cacert_buf();
    https_get_request_using_global_ca_store();

第一种是cert bundle方式，这个是今天我们重点的讲解。后两种就是使用用户指定的证书的方式，代码非常简单，就不展开了，今天主要介绍 cert bundle的方式。把cert bundle方式弄清楚了，后面两种也就清楚了，因为就是等于是cert bundle 方式的简化，简化了证书的创建，匹配和校验过程。

cert bundle的优劣

• 优点：cert bundle的优势是不需要用户关注证书和手动下载证书，自动实现全球几乎所有TLS根证书的支持。
• 缺点：因为内置一百多种证书，所以占用空间要大写，经过实际代码测试验证，大概大了60K左右。

ESP32 x509 Certificate Bundle

esp32 针对TLS的场景提供了x509 Certificate Bundle的实现支持，其可以简单理解为 x509证书集合。

关于x509 Certificate Bundle的详细介绍，可以参看：https://docs.espressif.com/projects/esp-idf/zh_CN/latest/esp32/api-reference/protocols/esp_crt_bundle.html 。

原文已经讲的非常清楚了，我们就不赘述了，今天只重点关注源码细节。

ESP32 TLS实现过程简述

1. cert bundle 反序列化
2. 创建空的证书
3. 在https的访问回调中，根据cert name，查找对应的证书。
4. 校验证书合法性
5. 校验通过后，建立链接，进行基于tls的读写过程。
6. 关闭链接，释放tls对象

源码分析

上面简述了整个过程，接下来我们将针对上面的步骤，对关键源码进行解析说明。

cert bundle 反序列化

外层调用：

if (s_crt_bundle.crts == NULL) {
        ret = esp_crt_bundle_init(x509_crt_imported_bundle_bin_start);
    }

参数 x509_crt_imported_bundle_bin_start 对应的值为 asm("_binary_x509_crt_bundle_start")

这个asm对象表示一段汇编代码，作用是返回x509对象数据地址，这个对象是通过python工具将cacrt_all.pem打包成二进制文件的，具体汇编的内容，可以自己参见 build目录下的 x509_crt_bundle.S汇编文件。

里层函数实现，解析注释：

static esp_err_t esp_crt_bundle_init(const uint8_t* x509_bundle)
{
    // 根据包头的两个字节获取证书个数
    s_crt_bundle.num_certs = (x509_bundle[0] << 8) | x509_bundle[1];
    s_crt_bundle.crts      = calloc(s_crt_bundle.num_certs, sizeof(x509_bundle));

    if (s_crt_bundle.crts == NULL) {
        ESP_LOGE(TAG, "Unable to allocate memory for bundle");
        return ESP_ERR_NO_MEM;
    }

    const uint8_t* cur_crt;
    cur_crt = x509_bundle + BUNDLE_HEADER_OFFSET;

    ESP_LOGW(TAG, "cert num:%d", s_crt_bundle.num_certs);

    // 根据个数一个一个的来偏移获取每个证书的内容
    for (int i = 0; i < s_crt_bundle.num_certs; i++) {
        s_crt_bundle.crts[i] = cur_crt;
        // 每个证书前面4个字节是长度信息
        size_t name_len = cur_crt[0] << 8 | cur_crt[1];
        size_t key_len  = cur_crt[2] << 8 | cur_crt[3];
        ESP_LOGW(TAG, "cert name len:%d,key len:%d", name_len, key_len);
        // 根据长度进行每个证书的偏移
        cur_crt = cur_crt + CRT_HEADER_OFFSET + name_len + key_len;
    }

    return ESP_OK;
}

这段代码的作用就是 将入参的cert bundle 地址内存，根据数据结构定义{BUNDLE_HEADER_OFFSET,{name_len,key_len, name,key}}反序列化成cert结构数组对象 s_crt_bundle。

截止本文撰写日期，esp32 实现的这个x509 cert bundle 支持135个根证书，几乎支持了全球所有的证书。

创建空的证书

mbedtls_x509_crt_init(&s_dummy_crt);
mbedtls_ssl_conf_ca_chain(ssl_conf, &s_dummy_crt, NULL);

这个空证书的作用主要是承载访问服务器时获取的服务器证书特征，这个特征会通过回调的方式传给 mbedtls_ssl_conf_verify 函数参数。

查找和校验证书

代码如下，解析见注释：

int esp_crt_verify_callback(void* buf, mbedtls_x509_crt* crt, int depth, uint32_t* flags)
{
    mbedtls_x509_crt* child = crt;

    /* It's OK for a trusted cert to have a weak signature hash alg.
       as we already trust this certificate */
    uint32_t flags_filtered = *flags & ~(MBEDTLS_X509_BADCERT_BAD_MD);

    if (flags_filtered != MBEDTLS_X509_BADCERT_NOT_TRUSTED) {
        return 0;
    }

    if (s_crt_bundle.crts == NULL) {
        ESP_LOGE(TAG, "No certificates in bundle");
        return MBEDTLS_ERR_X509_FATAL_ERROR;
    }

    ESP_LOGD(TAG, "%d certificates in bundle", s_crt_bundle.num_certs);

    size_t name_len = 0;
    const uint8_t* crt_name;

    // start 和 end 是证书数组的index。这里实现的是二分查找算法，说明cert bundle     
    // 数组的名字是增加了排序特征的，具体细节，需要查看python的打包工具的实现代码。
    bool crt_found = false;
    int start      = 0;
    int end        = s_crt_bundle.num_certs - 1;
    int middle     = (end - start) / 2;

    /* Look for the certificate using binary search on subject name */
    while (start <= end) {
        name_len = s_crt_bundle.crts[middle][0] << 8 | s_crt_bundle.crts[middle][1];
        crt_name = s_crt_bundle.crts[middle] + CRT_HEADER_OFFSET;

        int cmp_res = memcmp(child->issuer_raw.p, crt_name, name_len);
        if (cmp_res == 0) {
            crt_found = true;
            break;
        } else if (cmp_res < 0) {
            end = middle - 1;
        } else {
            start = middle + 1;
        }
        middle = (start + end) / 2;
    }
    // 二分查找结束

    // 校验证书合法性
    int ret = MBEDTLS_ERR_X509_FATAL_ERROR;
    if (crt_found) {
        size_t key_len = s_crt_bundle.crts[middle][2] << 8 | s_crt_bundle.crts[middle][3];
        ret = esp_crt_check_signature(child, s_crt_bundle.crts[middle] + CRT_HEADER_OFFSET + name_len, key_len);
    }

    if (ret == 0) {
        ESP_LOGI(TAG, "Certificate validated");
        *flags = 0;
        return 0;
    }

    ESP_LOGE(TAG, "Failed to verify certificate");
    return MBEDTLS_ERR_X509_FATAL_ERROR;
}

代码很简单，注释中已经说了，就是一个二分查找过程。

校验证书合法性

相关代码在上面的部分已经注释过了，就是esp_crt_check_signature函数。校验的细节，感兴趣的朋友可以自己查看此函数源码。

TLS读写过程

写请求过程：

do {
        ret = esp_tls_conn_write(tls, REQUEST + written_bytes, sizeof(REQUEST) - written_bytes);
        if (ret >= 0) {
            ESP_LOGI(TAG, "%d bytes written", ret);
            written_bytes += ret;
        } else if (ret != ESP_TLS_ERR_SSL_WANT_READ && ret != ESP_TLS_ERR_SSL_WANT_WRITE) {
            ESP_LOGE(TAG, "esp_tls_conn_write  returned: [0x%02X](%s)", ret, esp_err_to_name(ret));
            goto exit;
        }
    } while (written_bytes < sizeof(REQUEST));

esp_tls_conn_write根据长度来循环写。

读响应过程：

    do {
        len = sizeof(buf) - 1;
        bzero(buf, sizeof(buf));
        ret = esp_tls_conn_read(tls, (char*) buf, len);

        if (ret == ESP_TLS_ERR_SSL_WANT_WRITE || ret == ESP_TLS_ERR_SSL_WANT_READ) {
            continue;
        }

        if (ret < 0) {
            ESP_LOGE(TAG, "esp_tls_conn_read  returned [-0x%02X](%s)", -ret, esp_err_to_name(ret));
            break;
        }

        if (ret == 0) {
            ESP_LOGI(TAG, "connection closed");
            break;
        }

        len = ret;
        ESP_LOGD(TAG, "%d bytes read", len);
        /* Print response directly to stdout as it is read */
        for (int i = 0; i < len; i++) {
            putchar(buf[i]);
        }
        putchar('\n'); // JSON output doesn't have a newline at end
    } while (1);

esp_tls_conn_read 循环读，直到链接关闭为止，跳出循环

释放 tls对象：

esp_tls_conn_delete(tls);

结束

好了，整个代码过程还是封装的非常干净和清晰的，如果你需要在自己的嵌入式系统中实现TLS证书过程，那么也可以仿照以上的过程，实现自己的bundle和匹配校验过程，并且可以根据实际需要定制和优化。

希望以上的分析，能帮你快速实现自己的TLS访问功能。

letsencrypt 跟证书过期更换说明

见官方的声明 https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/

今年2021.9.30后，原有的DST RootCA X3就要过期了，改成ISRG Root X1。

对于浏览器用户基本不用担心，因为浏览器厂商自动做了支持。但是对于老旧的设备和一些嵌入式IOT设备等，就需要支持最新的证书，否则可能出现访问的问题。

esp32开发中如何修改默认日志级别

idf.py menuconfig

component config -> log output -> Default log verbosity

显示目标链中的所有证书：

openssl s_client -showcerts -connect www.xxx.com:443 </dev/null

当有多个子域名的时候，第一个不一定是想要的，所以自己根据CN来判断到底是哪组证书。然后自己截取 "-BEGIN CERTIFICATE-" "-END CERTIFICATE-" 之间的部分。

如果直接取第一个：

openssl s_client -showcerts -connect www.xxx.com:443 </dev/null |sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > test.cert

UNRAID下基于dnspod实现免费DDNS服务

目标环境：unraid

玩nas的都知道，ddns是必不可少的服务，让你能在互联网访问家里服务器的所有服务。

之前用的是一个免费的ddns，但是一个月要手动激活确认一次，觉得很麻烦。其次测试发现ip的同步时效有问题，时间久了就导致服务地址不可用（中间做了proxy，目前还没有最终确认是nginx的问题，还是这个ip失效的问题，待换了此新方案后确认）。

补充：这问题应该是nginx的proxy_pass的dns缓存问题。

简单的搜了下，目前有宝塔，群晖等方案，但考虑到方案的通用性，还是决定直接用原生cron的方案，而实际操作下来，也非常方便。

dnspod 域名设置

1. 创建或者导入已有的域名，添加子域名，设置默认的地址，比如127.0.0.1
2. 注意ipv4 和ipv6的设置差别。 一个是A类型，一个是AAAA类型。

dnspod 获取token

1. 登陆dnspod， 我的账号 - api秘钥 - DSPod Token。
2. 根据要求填写，然后生成id和token，自己保存起来。

软件包使用

dnspod目前支持的工具包地址： https://github.com/rehiy/dnspod-shell

1. 编辑ddnspod.sh，分别修改/your_real_path/ardnspod、arToken和arDdnsCheck为真实信息
2. 运行ddnspod.sh，开启循环更新任务；建议将此脚本支持添加到计划任务；

unraid定时运行

crontab -e

在末尾添加：

# Run minute cron jobs at every minutes after the hour:
* * * * * /xxx/dnspod-shell/ddnspod.sh 1> /dev/null

路径改成自己实际的。

刷新域名

如果发现127.0.0.1变成实际的ip了，说明脚本和定时任务生效了。

build.gradle的内容都是由系统配置自动生成的，如果有相关报错，先确认系统配置。

要点

1. grandle配置。file -> project structure -> project。
   
   dependecies的配置，目前看是grandle的插件来自动更新这部分内容的，需要确认grandle插件的正确安装：

   dependencies {
       classpath 'com.android.tools.build:gradle:4.2.2'
       classpath 'com.google.gms:google-services:4.3.3'
   }

2. app 签名管理:file -> project structure -> Modules -> Signing configs

问题

1. Execution failed for task ':processReleaseResources'
   解决：在build.gradle尾部添加：

   allprojects {
   repositories {
       google()
       jcenter()
   }
   }

2. goole地图的支持：通过在dependencies添加实现：

   dependencies {
   implementation fileTree(dir: 'libs', include: ['*.jar'])
   
   implementation 'com.google.android.gms:play-services-maps:12.0.1'
   implementation 'com.google.maps.android:android-maps-utils:0.5+'
   }

   具体版本，需要自己实际调整。

参考nordic官方数据：

1. Certificates, Identifiers & Profiles，下载 Apple Push Services文件，生成的是 apns.cer，将cer双击导入到苹果系统。

2. 从钥匙串中导出p12文件，证书和证书的key，注意设置安全密码：
   

3. 通过命令行开始生成

   cert:
   openssl pkcs12 -clcerts -nokeys -out apns_cert.pem -in apns_cert.p12
   key:
   openssl pkcs12 -nocerts -out apns_cert_key.pem -in apns_cert_key.p12

   这个过程会提示你输入之前的文件的密码，以及新生成的文件的密码，一定要区分清楚，因为后面的程序调试是需要生成文件的密码的。

4. 将两个pem合成一个

   cat apns_cert.pem apns_cert_key.pem > ck.pem

5. 验证
   开发证书：
   openssl s_client -connect gateway.sandbox.push.apple.com:2195 -cert apns_cert.pem -key apns_cert_key.pem
   量产证书：
   openssl s_client -connect gateway.push.apple.com:2195 -cert apns_cert.pem -key apns_cert_key.pem
   如果验证成功，内容结尾显示如下：

   SSL-Session:
   Protocol  : TLSv1.2
   Cipher    : DES-CBC3-SHA
   Session-ID: 
   Session-ID-ctx: 
   Master-Key: xxx
   Start Time: 1627218051
   Timeout   : 7200 (sec)
   Verify return code: 0 (ok)

   Verify return code: 0 (ok)，说明成功。

如果你恰好在研究admob，当你开通admob时，提示你有ads绑定无法开通。

那么如何将ads从google账号下解除呢：

• 登录ads
• 依次点击顶部的“工具与设置”-“帐号访问权限和安全”，在这里可以看到有权访问该Google Ads帐号的用户，其中就有“您本人”。
• 点击“您本人”后面的“移除访问权限”，即可彻底删除Google Ads帐号

error log

httpd_txrx: httpd_resp_send_err: 431 Request Header Fields Too Large - Header fields are too long for server to interpret

解决

在menuconfig中，调整HTTPD_MAX_REQ_HDR_LEN 的值：

menuconfig=>component config=>HTTP server=>max http request header leagth

官方其实已经对此问题做了说明，\examples\protocols\http_server\simple\README.md

If the server log shows "httpd_parse: parse_block: request URI/header too long", especially when handling POST requests, then you probably need to increase HTTPD_MAX_REQ_HDR_LEN, which you can find in the project configuration menu (`idf.py menuconfig`): Component config -> HTTP Server -> Max HTTP Request Header Length

相关源码路径： \examples\system\console\components\cmd_system

这个框架实际就是一个现成构架好的命令字，参数以及回调函数的框架，只要我们按照规范填写对应的参数，就能实现一个完整的console命令。

流程框架

    // 第1步：
    /*参数段设置*/
    // 第2步：
    /*命令结构体配置*/
    // 第3步：将命令结构体插入命令序列
    ESP_ERROR_CHECK(esp_console_cmd_register(&cmd));

第1步，参数段说明

我们找一个例子说明，其他的都是类似的步骤。

    int num_args                = 1;
    deep_sleep_args.wakeup_time = arg_int0("t", "time", "<t>", "Wake up time, ms");
#if SOC_PM_SUPPORT_EXT_WAKEUP
    deep_sleep_args.wakeup_gpio_num = arg_int0(NULL, "io", "<n>", "If specified, wakeup using GPIO with given number");
    deep_sleep_args.wakeup_gpio_level = arg_int0(NULL, "io_level", "<0|1>", "GPIO level to trigger wakeup");
    num_args += 2;
#endif
    deep_sleep_args.end = arg_end(num_args);

字段

deep_sleep_args 是用户创建的结构体，这个根据实际需要创建，例子中用的是int做参数，所以结构体主要是 arg_int, 以此类推，你可以选择arg_rem、arg_lit、arg_db1、arg_str等等。

这个结构体定义的最后一个成员是固定的 end，用来限制参数的个数。

参数构造函数

arg_int0:表示当前字段最多一个参数，可以为空，类型为int。
arg_int1:标识当前为一个必填字段，类型为int。
arg_intn:以此类推。

如果是其他类型，就有其他类似arg_xxx的参数构造函数。

我们具体以上面的内容为例子

arg_int0("t", "time", "<t>", "Wake up time, ms");

其中有4个成员，分别是：

• "t":参数字段简写
• "time":参数字段全拼
• "< t >":参数类型，t表示时间值
• "Wake up time, ms"：参数功能描述

第2步，命令结构体

源码例子：

 const esp_console_cmd_t cmd = {
        .command = "deep_sleep",
        .help =
            "Enter deep sleep mode. "
#if SOC_PM_SUPPORT_EXT_WAKEUP
            "Two wakeup modes are supported: timer and GPIO. "
#else
            "Timer wakeup mode is supported. "
#endif
            "If no wakeup option is specified, will sleep indefinitely.",
        .hint     = NULL,
        .func     = &deep_sleep,
        .argtable = &deep_sleep_args
    };

其中 command、help、hint、func、argtable 是系统的固定定义，分别表示：

1. command：命令字
2. help：帮助说明
3. hint：参数详细说明，为NULL时，由系统生成
4. func:回调函数
5. argtable:参数列表

第3步，开发自己的命令行

从上面的内容可以知道，我们要设计自己的命令行需要做一下工作：

1. 设计完整的命令。
2. 拆分出命令字，参数，搞清楚参数的类型和个数。
3. 填写deep_sleep_args参数结构（填写实际的对象，这里只是举例）。
4. 填写 esp_console_cmd_t cmd对象。
5. 实现回调函数，这个也是最主要的内容。
6. 将cmd将入系统命令队列。

到这里，我们就实现了自己的命令行，是不是很简单，主要的工作量都在准确实现参数列表和回调上。

ble gatt 通讯过程详解（基于esp32和nordic）

最近完成了esp32 自动扫描nordic设备的广播名称，并跟nordic uart server通讯的功能。

esp32 ：ble uart client, gatt_client
nordic：ble uart server (NUS), gatt_server

要点

• 要注意UUID表示成数组时的高低序，刚开始一直在排查代码，导致在这里浪费了好多时间。
• 获取正确的UUID，以及char的数量和properties，可以通过第三方LightBlue来获取这些信息。

说明：因为通讯的交互过程跟char的数量以及属性有关系的，有几个char，是只读还是读写等，这些都对应不同的交互流程。 所以以下的内容过程就是针对nordic NUS的特征的而撰写的，如果你自己的设备有所不同，要灵活调整，不可生搬硬套，重要的是理解gatt本质。

nordic NUS服务配置

说明：ca9e 是nordic的蓝牙串口服务 NUS，下面有两个 char。 RX uuid 是0002，属性是write 和write without response， TX uuid 是0003，属性是notify。

通讯交互流程图

说明

• 本来想文字再详细的说明下流程，发现上面的图已经表达的很清晰了，就没必要了，看图反而更直观。
• 以上的流程是标准参考流程，开发时，根据实际的产品流程需求，可以重新打断和组合，实现新的流程。
• 业务层实际的交互数据是在 esp_ble_gattc_write_char_descr过程中完成的。
• 因为整个流程是一环扣一环的，所以如果开发中发现结果不对，就是哪一步错误了或者遗漏触发了，可以参考以上的流程和代码来核对。
• 以上的内容对应gattc_demo的例子，可以从esp官网下载和确认。

ref:https://circuitdigest.com/article/how-to-secure-esp32-firmware-and-flash-memory-using-esp-idf-framework

How to Secure ESP32 Firmware and Flash Memory on ESP-IDF Framework

In the era of Internet of Things(IoT), wireless communication is getting increasingly popular in everyday life. In the world of IoT devices, ESP32 is a popular low-cost System on Chip (SoC) microcontroller with built-in hybrid WiFi and Bluetooth chips by Espressif Systems. Because of its robust design and ultra-low power consumption, it has become so popular in IoT applications. But when we talk about IoT applications, security in IoT will come to our mind for data safety and secure connection. ESP32 supports X.509 certificate-based mutual authentication for HTTPs, IoT cloud (AWS-IoT, Azure, Google Firebase, etc.) authentication, and data communications. Over the Internet, ESP32 also gives us the data security for stored data into FLASH memory and Boot Sectors to prevent the data from being stolen. Today we talk about the ESP32 security features, mainly related to of Boot sectors. The two main security features on ESP32 are called Secure-Boot and flash security, also known as Flash-Encryption.

What eFUSE Blocks in ESP32?

The ESP32 has a 1024-bits One-Time-Programmable (OTP) memory block. This OTP memory block is divided into 4-block of 256-bits each.

These blocks of memory store the keys of the Flash encryption and Secure Boot. Because of the OTP memory block, there is no software present to read out those memory blocks. One and only ESP32 hardware can read and validate the Security features.

What is Flash Encryption? How to Enable it on ESP32?

ESP32 Flash Encryption is a security feature for the ESP32 provided by the ESP-IDF by Espressif System to protect the flash memory. Flash encryption is encrypting the contents of ESP32’s SPI flash memory and when this feature is enabled, the following types of data are encrypted by default:

• Firmware Bootloader
• Partition Table
• “app” type partitions or Application partitions
• Any partition marked with an “encrypted” flag in the partition table is also encrypted.
  In ESP-IDF projects, users can easily enable the Flash Encryption from the project configuration by the

idf.py menuconfig

After open the ESP32 project config menu, now navigate to

“Security Features” -->  
“Enable flash encryption on boot” --> 
“Enable usage mode (Development(NOT SECURE))” / “Enable usage mode (Release)”

In flash encryption there are two modes:

• Development Mode: In this mode, the ESP32 flash memory partitions are all encrypted and open for modification and are also accessible to readout flash by the UART.
• Release Mode: This mode is especially recommended for the manufacturing and production stages. In this mode, the readout of the flash by the UART/JTAG is totally blocked and new firmware can only be updated by over-the-air(OTA).

When the flash encryption is enabled, the binaries of the current code flash into the ESP32’s memory as a plain text file. But after completion of the flash process, on the first boot of the ESP32, the device itself encrypted each and every upper mention partition, one by one by using the AES flash encryption key which is stored into the eFUSE-BLK1 at the time of flash. After encrypting the partition the ESP32 device restarted itself and processed with the programmed logic.

The ESP32’s flash execution process decrypts the flash memory data when the ESP32’s execution unit tries to read and for the writing process, the flash execution process encrypts the data before writing into the flash memory.

What is Secure-Boot? How to Enable it on ESP32?

The ESP32 Secure-boot is a security feature, which provides security to run correct applications on ESP32 hardware. When secure boot is enabled, each and every flash memory’s binaries [Software bootloader & Application firmware] are verified before loading with the RSA-3072 based Secure-boot’s signature keys. We can call the Secure-boot a “Guardian of The ESP32”.

For enabling the Flash Encryption, in the same steps we can enable the Secure-boot from the project menuconfig.

“Security Features” -->  
“Enable hardware Secure Boot in bootloader”

How Secure-boot works?

When the ESP32 device is booted up, then ESP32 hardware’s trusted rom or we said the 1st stage bootloader runs verification with RSA-3072 based secure-boot key on the software bootloader and then the software bootloader verifies the application firmware with the same signature key and start the application.

Conclusion

The ESP32 comes with a secure environment [Secure-boot & Flash-Encryption], which we need to enable while flashing the code. For more security, we need to enable both of them.

copy /usr/share/zoneinfo/xxx/xxx to /etc/localtime

原因：

为什么设置了时区以后，已经运行的程序在使用localtime函数调用时没有使用新时区呢？这个可以通过glibc的源码来回 答。localtime等涉及到本地所在时区的函数在调用的时候会先调用tzset这个函数，这一点可以通过tzset函数的manpage看出来。 tzset完成的工作是把当前时区信息（通过TZ环境变量或者/etc/localtime）读入并缓冲。事实上tzset在实现的时候是通过内部的 tzset_internal函数来完成的，显式的调用tzset会以显式的方式告知tzset_internal，而单独调用localtime的时候 是以隐式的方式告知tzset_internal，前者将强制tzset不管何种情况一律重新加载TZ信息或者/etc/localtime，而后者则是 只有在TZ发生变化，或者加载文件名发生变化的时候才会再次加载时区信息。因此，如果只是/etc/localtime的内容发生了变化，而文件名" /etc/localtime"没有变化，则不会再次加载时区信息，导致localtime函数调用仍然以老时区转换UTC时间到本地时间。

解决方法：在调用localtime之前调用tzset，则可强制刷新时区信息

现象

执行

ALTER TABLE tbl_name IMPORT TABLESPACE;

提示

Table 'xxx.xxx' doesn't exist in engine

先检查是不是真的不存在，其实是刚手动创建的，所以不是这个问题。

再排查，发现其中的一种错误：
覆盖或者导入的ibd文件，没有给予正确的用户归属权限，用chown设置下，就正常了

配置

system：mac air 11.4beta
xcode：12.4 12D4e
iphone：XR 14.6

现象

在xcode，手机出现“Unsupported OS version”，导致无法下载调试。

原因

原因是当前系统和硬件下，xcode就本限制在了当前版本，无法升级到最新的，导致无法支持最新的手机版本。

解决

参考：

https://stackoverflow.com/questions/67863355/xcode-12-4-unsupported-os-version-after-iphone-ios-update-14-6

因为原贴已经说的很清楚了，建议直接看原贴，如果想偷懒可以直接看以下总结步骤:

1. 本机切换到路径：/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport
2. 下载最新的release版本 https://raw.githubusercontent.com/iGhibli/iOS-DeviceSupport/master/DeviceSupport/14.5(FromXcode_12.5_Release_Candidate_xip).zip
3. 解压后，出现的是14.5
4. 将14.5复制一份，改成14.6，然后xcode退出，重进，然后iphone就正常了，可以连接下载了