OPNsense/Installation/Download: Unterschied zwischen den Versionen

Aktuelle Version vom 28. Mai 2023, 08:08 Uhr

Installationsmedium herunterladen

https://opnsense.org/download/

amd64-DVD-Image

Datei entpacken

$ bunzip2 OPNsense-23.1-OpenSSL-dvd-amd64.iso.bz2

Installationsmedium prüfen

Vor dem Einsatz MUSS das Installationsmedium verifiziert werden

Mit der SHA256-Prüfsumme kann die Integrität der Datei geprüft werden

$ sha256sum OPNsense-23.1-OpenSSL-dvd-amd64.iso.bz2
f25c10113ef1ea13c031fc6102f8e6caf73a7296b12bcc287670026cab29c7c7

Der Wert MUSS dem auf der Downloadseite entsprechen

Prüfsummen beweisen nicht unbedingt die Echtheit der Datei

Prüfsummen können auch in den Forenankündigungen, Mailinglisten, Blogbeiträgen oder auf GitHub gefunden werden
Diese MÜSSEN für den Produktivbetrieb überprüft werden

OpenSSL-Verifizierung

OpenSSL-Tool für die Dateiverifizierung verwenden

Für die Verifizierung werden 4 Dateien benötigt

Die bzip-komprimierte ISO-Datei (<Dateiname>.iso.bz2)
Die SHA-256-Prüfsummendatei (<Dateiname>.sha256)
Die Signaturdatei (<Dateiname>.sig)
Der öffentliche openssl-Schlüssel (<Dateiname>.pub)

Diese Dateien können von einem der Download-Mirrors heruntergeladen werden

Gehen Sie auf die OPNSense Download-Seite
Nachdem Sie einen Mirror ausgewählt haben, klicken Sie mit der rechten Maustaste auf den Download-Button und klicken Sie auf "in neuem Tab öffnen"
Es wird ein Popup-Fenster erscheinen, in dem Sie gefragt werden, ob Sie das Bild herunterladen möchten
Sagen Sie erst einmal "nein"
Entfernen Sie den Dateinamen nach dem letzten Schrägstrich in der URL-Leiste, und drücken Sie die Eingabetaste
Dadurch gelangen Sie zur Verzeichnisliste für diesen Mirror

Wenn Sie z. B. das Bild vom Spiegel der US-Ostküste herunterladen möchten:

Wenn Sie den Link in einer neuen Registerkarte öffnen, gelangen Sie zu diesem Link:

mirror.wdc1.us.leaseweb.net/opnsense/releases/22.7/OPNsense-22.7-OpenSSL-dvd-amd64.iso.bz2

Dateinamen am Ende weglassen

mirror.wdc1.us.leaseweb.net/opnsense/releases/22.1/

Der öffentliche OpenSSL-Schlüssel wird zur Verifizierung benötigt

Diese Datei befindet sich auch auf der Seite mit der Auflistung der Spiegelverzeichnisse, allerdings sollten Sie der Kopie dort nicht vertrauen.
Laden Sie sie herunter, öffnen Sie sie und überprüfen Sie, ob der öffentliche Schlüssel mit dem aus anderen Quellen übereinstimmt.
Wenn dies nicht der Fall ist, wurde der Mirror möglicherweise gehackt, oder Sie sind Opfer eines Man-in-the-Middle-Angriffs.

Quellen für den öffentlichen Schlüssel

https://pkg.opnsense.org/releases/mirror/README
https://forum.opnsense.org/index.php?board=11.0
https://opnsense.org/blog/
https://github.com/opnsense/changelog/tree/master/community
https://pkg.opnsense.org (/<FreeBSD Version & Architektur>/<Release Version>/sets/changelog.txz) (landet signiert und verifiziert in der GUI der laufenden Software)

Beachten Sie, dass nur Release-Ankündigungen mit Images (typischerweise alle Hauptversionen) den öffentlichen Schlüssel enthalten.

D.h. 22.1 würde eine Kopie des öffentlichen Schlüssels in der Versionsankündigung enthalten, 22.1.9 jedoch nicht.

Sobald Sie alle erforderlichen Dateien und eine Kopie des öffentlichen Schlüssels heruntergeladen und überprüft haben, dass der öffentliche Schlüssel mit dem öffentlichen Schlüssel aus den oben genannten alternativen Quellen übereinstimmt, können Sie relativ sicher sein, dass der Schlüssel nicht manipuliert wurde.

Um das heruntergeladene Image zu überprüfen, führen Sie die folgenden Befehle aus (ersetzen Sie dabei die Namen in Klammern durch die heruntergeladenen Dateien):

openssl base64 -d -in <Dateiname>.sig -out /tmp/image.sig
openssl dgst -sha256 -verify <key>.pub -signature /tmp/image.sig <image>.img.bz2

Stellen Sie sicher, dass Sie in der zweiten Zeile "img" in "iso" ändern, wenn Sie einen anderen Installer-Typ heruntergeladen haben.

Wenn die Ausgabe des zweiten Befehls "Verified OK" lautet, wurde Ihr Image erfolgreich verifiziert, und Sie können es installieren.

Wenn eine andere Ausgabe erscheint, haben Sie möglicherweise einen Fehler bei der Verwendung der Befehle gemacht, oder das Image wurde beschädigt.

@@ Zeile 1: / Zeile 1: @@
-== Download ==
+== Installationsmedium herunterladen ==
 [[File:opnsenseDownload.png|mini|500px|https://opnsense.org/download/]]
-; amd64-DVD-Image
+; https://opnsense.org/download/
-https://opnsense.org/download/
+* amd64-DVD-Image
-; Entpacken der Datei
+; Datei entpacken
   $ '''bunzip2 OPNsense-23.1-OpenSSL-dvd-amd64.iso.bz2'''
-== Download Verifizieren ==
+== Installationsmedium prüfen ==
-; Vor der Verwendung MUSS das Image verifiziert werden
+; Vor dem Einsatz MUSS das Installationsmedium verifiziert werden
 Mit der SHA256-Prüfsumme kann die Integrität der Datei geprüft werden
   $ sha256sum OPNsense-23.1-OpenSSL-dvd-amd64.iso.bz2
@@ Zeile 14: / Zeile 15: @@
 Der Wert MUSS dem auf der Downloadseite entsprechen
-; Hinweis
+; Prüfsummen beweisen nicht unbedingt die Echtheit der Datei
-: Prüfsummen beweisen nicht unbedingt die Echtheit der Datei
+* Prüfsummen können auch in den Forenankündigungen, Mailinglisten, Blogbeiträgen oder auf GitHub gefunden werden
-:* Prüfsummen können auch in den Forenankündigungen, Mailinglisten, Blogbeiträgen oder auf GitHub gefunden werden
+* Diese MÜSSEN für den Produktivbetrieb überprüft werden
-:* Diese SOLLTEN überprüft werden
-: siehe auch [[OPNsense/DownloadVerifizieren]]
-== OpenSSL-Tool für die Dateiverifizierung verwenden ==
+== OpenSSL-Verifizierung ==
-Für die Verifizierung werden 4 Dateien benötigt:
+; OpenSSL-Tool für die Dateiverifizierung verwenden
+Für die Verifizierung werden 4 Dateien benötigt
 # Die bzip-komprimierte ISO-Datei (<Dateiname>.iso.bz2)
 # Die SHA-256-Prüfsummendatei (<Dateiname>.sha256)
@@ Zeile 27: / Zeile 28: @@
 # Der öffentliche openssl-Schlüssel (<Dateiname>.pub)
-; Diese Dateien können von einem der Download-Mirrors heruntergeladen werden.
+; Diese Dateien können von einem der Download-Mirrors heruntergeladen werden
-Um sie herunterzuladen:
 # Gehen Sie auf die OPNSense Download-Seite
-# Nachdem Sie einen Mirror ausgewählt haben, klicken Sie mit der rechten Maustaste auf den Download-Button und klicken Sie auf "in neuem Tab öffnen".
+# Nachdem Sie einen Mirror ausgewählt haben, klicken Sie mit der rechten Maustaste auf den Download-Button und klicken Sie auf "in neuem Tab öffnen"
-# Es wird ein Popup-Fenster erscheinen, in dem Sie gefragt werden, ob Sie das Bild herunterladen möchten.
+# Es wird ein Popup-Fenster erscheinen, in dem Sie gefragt werden, ob Sie das Bild herunterladen möchten
+# Sagen Sie erst einmal "nein"
-Sagen Sie erst einmal "nein".
+# Entfernen Sie den Dateinamen nach dem letzten Schrägstrich in der URL-Leiste, und drücken Sie die Eingabetaste
-* Entfernen Sie den Dateinamen nach dem letzten Schrägstrich in der URL-Leiste, und drücken Sie die Eingabetaste.
+# Dadurch gelangen Sie zur Verzeichnisliste für diesen Mirror
-* Dadurch gelangen Sie zur Verzeichnisliste für diesen Mirror.
-Wenn Sie z.B. das Bild vom Spiegel der US-Ostküste herunterladen möchten:
+Wenn Sie z.&nbsp;B.&nbsp;das Bild vom Spiegel der US-Ostküste herunterladen möchten:
 Wenn Sie den Link in einer neuen Registerkarte öffnen, gelangen Sie zu diesem Link:
   mirror.wdc1.us.leaseweb.net/opnsense/releases/22.7/OPNsense-22.7-OpenSSL-dvd-amd64.iso.bz2
-Sie sollten den Dateinamen am Ende weglassen, etwa so:
+Dateinamen am Ende weglassen
   mirror.wdc1.us.leaseweb.net/opnsense/releases/22.1/
@@ Zeile 72: / Zeile 69: @@
 Wenn die Ausgabe des zweiten Befehls "Verified OK" lautet, wurde Ihr Image erfolgreich verifiziert, und Sie können es installieren.
 * Wenn eine andere Ausgabe erscheint, haben Sie möglicherweise einen Fehler bei der Verwendung der Befehle gemacht, oder das Image wurde beschädigt.
-[[Kategorie:OPNsense/Installation]]
 [[Kategorie:OPNsense/Installation]]