OPNsense/Installation/Download: Unterschied zwischen den Versionen
Zeile 21: | Zeile 21: | ||
* Diese MÜSSEN für den Produktivbetrieb überprüft werden | * Diese MÜSSEN für den Produktivbetrieb überprüft werden | ||
== OpenSSL-Verifizierung == | === OpenSSL-Verifizierung === | ||
; OpenSSL-Tool für die Dateiverifizierung verwenden | ; OpenSSL-Tool für die Dateiverifizierung verwenden | ||
Version vom 18. Februar 2023, 12:54 Uhr
Download
- amd64-DVD-Image
https://opnsense.org/download/
- Entpacken der Datei
$ bunzip2 OPNsense-23.1-OpenSSL-dvd-amd64.iso.bz2
Integrität
Installationsmedium
- Prüfsumme verifizieren
Vor dem Einsatz MUSS das Installationsmedium verifiziert werden
Mit der SHA256-Prüfsumme kann die Integrität der Datei geprüft werden
$ sha256sum OPNsense-23.1-OpenSSL-dvd-amd64.iso.bz2 f25c10113ef1ea13c031fc6102f8e6caf73a7296b12bcc287670026cab29c7c7
Der Wert MUSS dem auf der Downloadseite entsprechen
- Prüfsummen beweisen nicht unbedingt die Echtheit der Datei
- Prüfsummen können auch in den Forenankündigungen, Mailinglisten, Blogbeiträgen oder auf GitHub gefunden werden
- Diese MÜSSEN für den Produktivbetrieb überprüft werden
OpenSSL-Verifizierung
- OpenSSL-Tool für die Dateiverifizierung verwenden
Für die Verifizierung werden 4 Dateien benötigt
- Die bzip-komprimierte ISO-Datei (<Dateiname>.iso.bz2)
- Die SHA-256-Prüfsummendatei (<Dateiname>.sha256)
- Die Signaturdatei (<Dateiname>.sig)
- Der öffentliche openssl-Schlüssel (<Dateiname>.pub)
- Diese Dateien können von einem der Download-Mirrors heruntergeladen werden
- Gehen Sie auf die OPNSense Download-Seite
- Nachdem Sie einen Mirror ausgewählt haben, klicken Sie mit der rechten Maustaste auf den Download-Button und klicken Sie auf "in neuem Tab öffnen"
- Es wird ein Popup-Fenster erscheinen, in dem Sie gefragt werden, ob Sie das Bild herunterladen möchten
- Sagen Sie erst einmal "nein"
- Entfernen Sie den Dateinamen nach dem letzten Schrägstrich in der URL-Leiste, und drücken Sie die Eingabetaste
- Dadurch gelangen Sie zur Verzeichnisliste für diesen Mirror
Wenn Sie z.B. das Bild vom Spiegel der US-Ostküste herunterladen möchten:
Wenn Sie den Link in einer neuen Registerkarte öffnen, gelangen Sie zu diesem Link:
mirror.wdc1.us.leaseweb.net/opnsense/releases/22.7/OPNsense-22.7-OpenSSL-dvd-amd64.iso.bz2
Dateinamen am Ende weglassen
mirror.wdc1.us.leaseweb.net/opnsense/releases/22.1/
- Der öffentliche OpenSSL-Schlüssel wird zur Verifizierung benötigt
- Diese Datei befindet sich auch auf der Seite mit der Auflistung der Spiegelverzeichnisse, allerdings sollten Sie der Kopie dort nicht vertrauen.
- Laden Sie sie herunter, öffnen Sie sie und überprüfen Sie, ob der öffentliche Schlüssel mit dem aus anderen Quellen übereinstimmt.
- Wenn dies nicht der Fall ist, wurde der Mirror möglicherweise gehackt, oder Sie sind Opfer eines Man-in-the-Middle-Angriffs.
- Quellen für den öffentlichen Schlüssel
- https://pkg.opnsense.org/releases/mirror/README
- https://forum.opnsense.org/index.php?board=11.0
- https://opnsense.org/blog/
- https://github.com/opnsense/changelog/tree/master/community
- https://pkg.opnsense.org (/<FreeBSD Version & Architektur>/<Release Version>/sets/changelog.txz) (landet signiert und verifiziert in der GUI der laufenden Software)
- Beachten Sie, dass nur Release-Ankündigungen mit Images (typischerweise alle Hauptversionen) den öffentlichen Schlüssel enthalten.
- D.h. 22.1 würde eine Kopie des öffentlichen Schlüssels in der Versionsankündigung enthalten, 22.1.9 jedoch nicht.
Sobald Sie alle erforderlichen Dateien und eine Kopie des öffentlichen Schlüssels heruntergeladen und überprüft haben, dass der öffentliche Schlüssel mit dem öffentlichen Schlüssel aus den oben genannten alternativen Quellen übereinstimmt, können Sie relativ sicher sein, dass der Schlüssel nicht manipuliert wurde.
- Um das heruntergeladene Image zu überprüfen, führen Sie die folgenden Befehle aus (ersetzen Sie dabei die Namen in Klammern durch die heruntergeladenen Dateien):
openssl base64 -d -in <Dateiname>.sig -out /tmp/image.sig openssl dgst -sha256 -verify <key>.pub -signature /tmp/image.sig <image>.img.bz2
Stellen Sie sicher, dass Sie in der zweiten Zeile "img" in "iso" ändern, wenn Sie einen anderen Installer-Typ heruntergeladen haben.
Wenn die Ausgabe des zweiten Befehls "Verified OK" lautet, wurde Ihr Image erfolgreich verifiziert, und Sie können es installieren.
- Wenn eine andere Ausgabe erscheint, haben Sie möglicherweise einen Fehler bei der Verwendung der Befehle gemacht, oder das Image wurde beschädigt.