OPNsense/Installation/Download: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 21: Zeile 21:
* Diese MÜSSEN für den Produktivbetrieb überprüft werden
* Diese MÜSSEN für den Produktivbetrieb überprüft werden


== OpenSSL-Verifizierung ==
=== OpenSSL-Verifizierung ===
; OpenSSL-Tool für die Dateiverifizierung verwenden
; OpenSSL-Tool für die Dateiverifizierung verwenden



Version vom 18. Februar 2023, 12:54 Uhr

Download

https://opnsense.org/download/
amd64-DVD-Image

https://opnsense.org/download/

Entpacken der Datei
$ bunzip2 OPNsense-23.1-OpenSSL-dvd-amd64.iso.bz2

Integrität

Installationsmedium

Prüfsumme verifizieren

Vor dem Einsatz MUSS das Installationsmedium verifiziert werden

Mit der SHA256-Prüfsumme kann die Integrität der Datei geprüft werden

$ sha256sum OPNsense-23.1-OpenSSL-dvd-amd64.iso.bz2
f25c10113ef1ea13c031fc6102f8e6caf73a7296b12bcc287670026cab29c7c7

Der Wert MUSS dem auf der Downloadseite entsprechen

Prüfsummen beweisen nicht unbedingt die Echtheit der Datei
  • Prüfsummen können auch in den Forenankündigungen, Mailinglisten, Blogbeiträgen oder auf GitHub gefunden werden
  • Diese MÜSSEN für den Produktivbetrieb überprüft werden

OpenSSL-Verifizierung

OpenSSL-Tool für die Dateiverifizierung verwenden

Für die Verifizierung werden 4 Dateien benötigt

  1. Die bzip-komprimierte ISO-Datei (<Dateiname>.iso.bz2)
  2. Die SHA-256-Prüfsummendatei (<Dateiname>.sha256)
  3. Die Signaturdatei (<Dateiname>.sig)
  4. Der öffentliche openssl-Schlüssel (<Dateiname>.pub)
Diese Dateien können von einem der Download-Mirrors heruntergeladen werden
  1. Gehen Sie auf die OPNSense Download-Seite
  2. Nachdem Sie einen Mirror ausgewählt haben, klicken Sie mit der rechten Maustaste auf den Download-Button und klicken Sie auf "in neuem Tab öffnen"
  3. Es wird ein Popup-Fenster erscheinen, in dem Sie gefragt werden, ob Sie das Bild herunterladen möchten
  4. Sagen Sie erst einmal "nein"
  5. Entfernen Sie den Dateinamen nach dem letzten Schrägstrich in der URL-Leiste, und drücken Sie die Eingabetaste
  6. Dadurch gelangen Sie zur Verzeichnisliste für diesen Mirror

Wenn Sie z.B. das Bild vom Spiegel der US-Ostküste herunterladen möchten:

Wenn Sie den Link in einer neuen Registerkarte öffnen, gelangen Sie zu diesem Link:

mirror.wdc1.us.leaseweb.net/opnsense/releases/22.7/OPNsense-22.7-OpenSSL-dvd-amd64.iso.bz2

Dateinamen am Ende weglassen

mirror.wdc1.us.leaseweb.net/opnsense/releases/22.1/
Der öffentliche OpenSSL-Schlüssel wird zur Verifizierung benötigt
  • Diese Datei befindet sich auch auf der Seite mit der Auflistung der Spiegelverzeichnisse, allerdings sollten Sie der Kopie dort nicht vertrauen.
  • Laden Sie sie herunter, öffnen Sie sie und überprüfen Sie, ob der öffentliche Schlüssel mit dem aus anderen Quellen übereinstimmt.
  • Wenn dies nicht der Fall ist, wurde der Mirror möglicherweise gehackt, oder Sie sind Opfer eines Man-in-the-Middle-Angriffs.
Quellen für den öffentlichen Schlüssel
Beachten Sie, dass nur Release-Ankündigungen mit Images (typischerweise alle Hauptversionen) den öffentlichen Schlüssel enthalten.
  • D.h. 22.1 würde eine Kopie des öffentlichen Schlüssels in der Versionsankündigung enthalten, 22.1.9 jedoch nicht.

Sobald Sie alle erforderlichen Dateien und eine Kopie des öffentlichen Schlüssels heruntergeladen und überprüft haben, dass der öffentliche Schlüssel mit dem öffentlichen Schlüssel aus den oben genannten alternativen Quellen übereinstimmt, können Sie relativ sicher sein, dass der Schlüssel nicht manipuliert wurde.

  • Um das heruntergeladene Image zu überprüfen, führen Sie die folgenden Befehle aus (ersetzen Sie dabei die Namen in Klammern durch die heruntergeladenen Dateien):
openssl base64 -d -in <Dateiname>.sig -out /tmp/image.sig
openssl dgst -sha256 -verify <key>.pub -signature /tmp/image.sig <image>.img.bz2

Stellen Sie sicher, dass Sie in der zweiten Zeile "img" in "iso" ändern, wenn Sie einen anderen Installer-Typ heruntergeladen haben.

Wenn die Ausgabe des zweiten Befehls "Verified OK" lautet, wurde Ihr Image erfolgreich verifiziert, und Sie können es installieren.

  • Wenn eine andere Ausgabe erscheint, haben Sie möglicherweise einen Fehler bei der Verwendung der Befehle gemacht, oder das Image wurde beschädigt.