[Wien] 0xff-olsr test version: 0.5.6.7.7

Markus Kittenberger (spam-protected)
Sa Dez 19 19:41:51 CET 2009 

Am 19.12.2009, 19:28 Uhr, schrieb Markus Gschwendt <(spam-protected)>:

>> Am 19. Dezember 2009 15:49 schrieb Markus Kittenberger
> ...
>>> extra die variable löschen ist nur ein imho ziemlich unnoetiger
>>> mehraufwand
>>> fürs skript
>>
>> Wär aber gut für die Autoupdate-Spider weil die vorrangig nach der
>> Variable sucht (per http - und wenn sie eingeschaltet ist alles
>> weitere unternimmt. Wenn dann der Key gelöscht ist kann das Script
>> nicht zugreifen und wirft nen Fehler aus...)
>
> hi mal ne zwischenfrage:
> warum wird das neue paket,... nicht enfach irgendwie anounced und der
> router holt das dann und macht sebständig das update?
> dann bräuchte man auch keinen key am router
>
> markus
>

darüber hab ich gestern schon laaaang nachgedacht,.. (im endeffekzt hatte  
ich dann nicht mehr viel lsut, und beschloss das bestehende  
auto-update-firmware system mit/weiterzuverwenden *G)

ein problem ist imho zu authenthifizieren das die pakete wirklich die  
richtigen sind die der router sich da selber holt,.. (denn in nem olsr  
netz kann man leichtmal die ip vom texas announcen, und statt den  
olsr-updates holen sich die router dann was anderes,...)

und standardmässig ist auf der freifunkfirmware eben nichts drauf um  
signierte downloads zu verifizieren,..
(die uclibc libcrypt ist noch das einzige, aber die kann nur DES und md5)

ssh/dropbear hat zwar die nötigen features eingebaut (rsa mit wählbarer  
länge), aber einfach nutzen kann man sie wohl nur wenn man dies indirekt  
per ssh/scp benutzt,...

-----
eine option ist noch die richtung der scp transfers umuzudrehen,.. (und  
somit kein login am router zu haben, sondern dem router login auf nem  
update-server zu geben)

hab z.b testweise ne scponly+chroot umgebung am texas dafür aufgesetzt,  
woher sich die router ihre updates holen könnten (und wenn sie vorher den  
host key des texas verifizieren sollte das passen,..)

allerdings ist das ne ziemlich buggy sache, es ging mit chroot kurz und  
dann eben nie wieder (und der texas geht soweiso nicht verlässlich wenn  
man sich per ssh von überallher einloggen will, aber das ist ne andere  
geschichte)

-----
ne andere variante ist den autoupdate ssh key nicht roo trechte auf dem  
router zu geben,..
man kann ja zusätzlich zum root user auch andere user auf nem  
freifunkfirmware router anlegen, der auch sienen eignen  
.ssh/authorized_keys in seinem homedir haben kann

damit hat man zwar weiterhin gloale leserechte auf dem router, aber eben  
nicht mehr (und kann eben bestenfalls ein update-ipkg auf den router  
legen) und der router beschliesst dann selber (je nach usersettings) was  
er damit tut

-- 
lg Markus

Mehr Informationen über die Mailingliste Wien