[Freifunk-Bonn] Updatescript für unsere Firmware

Mo Mär 3 11:15:07 CET 2014

Hallo,

Am 03/02/2014 03:54 PM, schrieb johnny.bee at gmx.de:
> Hallo Jan und eGeist,
> 
> erstmal danke für eure Rückmeldungen.
> @jan:
> Ersteinmal danke für die IPV6-Adresse für Jenkins. Der Router löst diese
> auch auf [2001:470:1f14:1ce6::2] auf. Allerdings kommt dann nichts mehr.
> Kann es sein, das wir im Freifunknetz am Internetgateway ein
> IPV6-Problem haben?

Ja - wir hatten leider einen internen Routing F***-up  bedingt durch
einen Typo "route aadd" statt "route add" in einem config-script :-/

> Bzgl. des Scripts:
> Aktuell benutzt der Script eine _Datei_ "upgradversion", um zu
> verifizieren, welche Version aktuell ist. Deswegen würde ich diese im
> aktuellen Ausbaustand benötigen. Ich versuche dies zu ändern. 

ok - gut.

> Außerdem
> verstehe ich noch nicht ganz, was Du meinst mit "*Es wäre imho genial,
> wenn Du Dein Upgrade-Script einfach gegen beta-Versionen laufen
> lässt.*"? Eigentlich würde ich gerade Betas NICHT automatisch
> installieren lassen wollen aufgrund von potenziellen Fehlern oder reden
> wir da aneinander vorbei? 

Scheinbar. Ich meine, wir sollten Upgrades Current-Stable -> nächste
Beta automatisiert testen um Fehler beim Upgrade zu finden.

Mein Plan ist, diesen Script in die neue
> Firmwareversion zu integrieren, damit alle Freifunkrouter aktualisiert
> werden könnnen.....

Joah.

> @eGeist: Die Idee mit dem Auswerten der MD5SUM-Datei ist genial! Danke
> für den Tip! Ich werde mal versuchen, das so umzusetzen, da ich dann
> wirklich die normale Struktur von jenkins verwenden könnte.... Wie war
> das noch, auf die einfachsten Ideen kommt man meistens nicht...:-)

Puh - eigentlich sollten wir auch die Digitale Signatur überprüfen um
mitm-Probleme auszuschließen.
Aktuell ist die Signatur mit gpg erstellt, das jedoch zu groß für die
Router sein könnte. Afair wäre es auch mgl. die Releases via fastd zu
signieren. Die Überprüfung wäre also eine Baustelle für das Script.

> @all: Ich bin mir momentan noch unschlüssig, ob die Updatefunktion
> standardmäßig aktiviert sein soll oder nicht. Was sagt Ihr dazu? 

Nein. Nicht aktiv. Ich möchte gerne, dass wir *keine* Kontrolle über die
Router haben. Insb. soll es für niemanden möglich sein, durch aufspielen
einer manipulierten Firmware Kontrolle über ein privates Uplink-Netz zu
übernehmen.

> Und ist
> es viel Aufwand auf unserer Register-Seite bei den Eigenschaften der
> jeweiligen Router eine Auswahlmöglichkeit für "Update Ja/nein" zu
> setzen, welches ich dann via API bzw einfacherer Downloadurl abfragen kann?

Puh... das wird schon aufwändig. Im Prinzip bedeutet das:
Der Router muss per https-Erreichbar sein. Wenn Du das Häkchen setzt,
muss es per https an den Router übermittelt werden.

Probleme hierbei:
-> Technik: Service muss man bauen - noch das kleinste...
-> Sicherheit: Wo soll der Service erreichbar sein? Wolke? Uplink-Netz?
-> Hardware: Bei 4MB flash ist SSL imho problematisch, da die Geräte nur
wenig Platz für SSL-Libraries haben.

Gruß, Jan