Wer kann Firmware Updates "von außen" machen?

Tarias · 21. September 2015 um 06:34

Hallo zusammen,
ich hab mal ne kleine Verständnisfrage.
Wie läuft ein Firmwareupdate von aussen ab?
So wie ich mir das vorstelle muß ich dafür auf meinen Knoten die autoupdate Funktion aktiviert haben, dann kann eine neue Firmware eingespielt werden.
Meine Frage ist: Muss die neue Firmware dafür irgendwie signiert sein, von mehreren Menschen freigegeben, oder kann theoretisch jeder, der über das know how verfügt ein neues Image über den Autoupdate Prozess einspielen?
Falls es da ne Doku zu gibt, dann hab ich die einfach nicht gefunden. dann reicht mir auch ein Link.
Danke schon mal im Voraus

chrisno · 21. September 2015 um 06:41

Moin,

http://gluon.readthedocs.org/en/latest/features/autoupdater.html

ja die FW muss signiert sein, von wie vielen / von wem wird in der site.conf deiner aktuellen Firmware festgelegt.

Gruß

Chrisno

Tarias · 21. September 2015 um 07:07

Danke
Dann richte ich mir heute abend mal nen SSH Zugang ein und schau nach.
Bin ja immer neugierig.

fragstone · 21. September 2015 um 09:03

Wichtig zu verstehen ist das die Firmware nicht von außen eingespielt wird sonder der Router aktiv nach neuer Firmware auf vorgegebenen Servern schaut.
Wenn dann dort ein neues file liegt und ihm die Signatur passt dann m
Lädt er diese runter und aktuallisiert sich.

Tarias · 21. September 2015 um 10:52

ok, wie bekommt man dann auf einzelnen Knoten ein Update hin? Schaut der Router erst auf einem Server, ob für seine IP (Namen oder was auch immer) etwas bereit liegt und lädt dann das Image von nem anderen Server?

MrMM · 21. September 2015 um 11:42

Man kann Serverseitig gezielt Updates nur an definierte Knoten ausliefern, sofern man den Update Server nur per IPv6 erreichbar macht.

Der Trick ist, dass die Knoten ihre IPv6 Adressen im Mesh bekannt machen, dadurch kann man eine Liste mit IP Adressen erstellen die ein Update erhalten sollen.
Der Webserver entscheidet dann also wem er ein bestimmtes Update anbietet. Der Knoten selber überprüft dann ganz regulär die Signaturen und akzeptiert das Update sofern ausreichend korrekte Unterschriften vorhanden sind.

Für den Split Rheinufer Aachen haben wir das Anfang des Jahres sehr erfolgreich so gemacht, soweit ich es mitbekommen habe ist das bei derartigen Vorhaben inzwischen der gängige Standard geworden.

Tarias · 21. September 2015 um 12:10

Ah, ok. Wenn ich das richtig verstanden hab bietet der Server anhand von IPv6 Listen den dort eingetragenen Knoten das Update an. Und die laden es sich dann (so die Signaturen vorhanden sind und stimmen) runter uns installieren.
Und später wird das dann per wildcard oder so allen angeboten.
Danke, wieder etwas schlauer