Zwei Signaturen

Moin,

ich möchte gerne, dass wir das mit den zwei Signaturen mal testen.

Dazu habe ich meine Picostation auf 1.1.4 zurückgesetzt, auf stabil gestellt und auf zwei Signaturen erhöht:

# uci show|grep signatures
autoupdater.experimental.good_signatures='1'
autoupdater.beta.good_signatures='1'
autoupdater.stable.good_signatures='2'

Ich möchte jetzt gerne, dass dann jemand mal 1.1.6 für Domäne 16 noch zusätzlich signiert und bin gespannt, ob sich das Gerät dann die neue Version zieht und wieder auf 1.1.6 geht.

Router: https://karte.freifunk-muensterland.org/map16/#!v:m;n:68725104f36e

Dann möge bitte jemand mal signieren. Wenn das klappt, setzen wir das überall bei stabil auf zwei Signaturen und tragen @Alucardo s und @corny456 s Schlüssel ein.

@Adminteam

Grüße
Matthias

2 Like

Das alte Script musste angepasst werden:
https://github.com/FreiFunkMuenster/manifest-ffms/commit/b392d8527acba99dd45beb8fa25a3b880b6ab357

Anschließend läuft das Script durch: https://github.com/FreiFunkMuenster/manifest-ffms/blob/master/domaene16/v1.1.6/stable.manifest

Aber die Datei wird falsch verarbeitet / erstellt. das Script teilt die Datei bei den 3 Bindestrichen (beabsichtigt für Signaturprozess). Am Ende bleibt dann aber nur der untere Teil in der Datei.

@void Laut git hast du das Script eingestellt. Hast du das nur kopiert oder dich auch genauer damit beschäftigt. Ich sehe auf Anhieb keine Fehlerursache.

Mein Knoten ist immer noch auf Version 1.1.4: https://karte.freifunk-muensterland.org/map16/#!v:m;n:68725104f36e

@Adminteam

Ich dachte, der Autoupdate funktioniert derzeit nur statisch: nur explizit eingetragene Knoten ziehen sich über die Default URL die jeweils explizit eingetragene Software…

Das stimmt so im groben und ganzen… Wir machen je nach V6 Adresse einen rewrite auf den richtigen Ordner der Domäne… Aber auch nur dann wenn der Knoten ein Manifest findet das signiert ist zieht er sich die Firmware und installiert diese…

@mpw hat seinen aber eingetragen und seine Pico installiert nicht weil die 2. Signatur im Manifest noch fehlt…

Für den Test brauchen wir eine zweite Signatur.

1 Like
M	sign.sh
Bereits auf 'master'
Ihr Branch ist auf dem selben Stand wie 'origin/master'.
Already up-to-date.
--2016-09-04 17:47:43--  https://firmware.freifunk-muensterland.de/domaene16/versions/v1.1.6/sysupgrade/stable.manifest
Auflösen des Hostnamen »firmware.freifunk-muensterland.de (firmware.freifunk-muensterland.de)«... 2a01:4f8:191:21e1::23, 144.76.30.226
Verbindungsaufbau zu firmware.freifunk-muensterland.de (firmware.freifunk-muensterland.de)|2a01:4f8:191:21e1::23|:443... verbunden.
HTTP-Anforderung gesendet, warte auf Antwort... 200 OK
Länge: 28814 (28K) [application/octet-stream]
In »»domaene16/v1.1.6/stable.manifest«« speichern.

domaene16/v1.1.6/stable.manifest           100%[=====================================================================================>]  28,14K  --.-KB/s    in 0,008s  

2016-09-04 17:47:43 (3,24 MB/s) - »domaene16/v1.1.6/stable.manifest« gespeichert [28814/28814]

[master 6e129a2] Signatur für domaene16 / v1.1.6 / stable hinzugefügt ach, was solls...
 1 file changed, 131 insertions(+)
 create mode 100644 domaene16/v1.1.6/stable.manifest
ERROR: Permission to FreiFunkMuenster/manifest-ffms.git denied to paulinsche.
fatal: Could not read from remote repository.

Please make sure you have the correct access rights
and the repository exists.

Habe das Ding von Hand hochgeladen…:

scp domaene16/v1.1.6/stable.manifest firmware.freifunk-muensterland.de:/var/www/html/domaene16/versions/v1.1.6/sysupgrade
stable.manifest

Und dann noch einen pull-request hinterher geschoben.

https://github.com/FreiFunkMuenster/manifest-ffms/pull/1

1 Like

Off-topic: dann klappt ein autoupdate aber immer nur über Freifunk, d.h. das VPN muss auch stehen. Auch schon, weil nur der interne Dienst unter http://firmware.ffms/ und nicht http://firmware.freifunk-muensterland.de genutzt wird. Extra?

Derzeit ja, weil wir nur so die Knoten korrekt zuordnen können. Ist aber wie gesagt geplant, es zu ändern.

Jetzt wo die ganze Migriererei durch ist.

Yeeeeh mein Knoten hat wieder 1.1.6! Das hat also schon mal geklappt. Danke @paulinsche.

Dann könnte man für alle Domänen außer 6,10 und 65 in der stabilen Version auf zwei Signaturen erhöhen.

Was mal jemand™ testen könnte: reichen zwei Signaturen, oder geht auch zwei mal die gleiche Signatur. Hatte vorhin nämlich mal zwei signiert…

Also in diesem Fall dürfte die zweite gültige Signatur von mir gewesen sein, es sei denn, dass du die gelöscht hattest?

Wenn ich mir hier Zeile 81ff so ansehe, wird es dort übrigens nicht abgefangen: https://github.com/freifunk-gluon/packages/blob/master/admin/autoupdater/files/usr/sbin/autoupdater

Wenn überhaupt also im Signtool.

Dann versuch es doch nochmal: erfordere drei Signaturen auf deinem Knoten und signiere du ein zweites mal. Wenn dein Knoten sich die Firmware zieht, haben wir (meiner Ansicht nach) ein Bug.

Ich hab schon den ersten Test vorbereitet, jetzt darf jemand anderes ;).

Es wäre immer der gleiche Sign und das erkennt der Autoupdater als fehlerhaft. Es muss von unterschiedlichen Personen sein

Hast du mal eine Codezeile dafür? Ich meine in der Autoupdater.lua ist das nämlich nicht drin, wenn ich den Code vorhin richtig überflogen habe. Wenn überhaupt tut das dann das Programm, was den eigentlichen Abgleich durchführt.