Foro de TI tranquilo

Hola a todos, espero que estén bien.

Me gustaría retomar el siguiente tema: viewtopic.php?t=3038.

Tras investigar un poco, logré configurar los kernels de arranque de red "ipxe.efi" (UEFI) y "undionly.kpxe" (LEGACY) usando un certificado autofirmado a través de HTTPS.

Se requirieron varias configuraciones en los archivos de cabecera ubicados en ../src/config/*.h antes de compilar los kernels de arranque. Actualmente estoy usando los proporcionados con la solución FOGProject. ¿

Podrían informarme sobre la configuración inicial que proporciona Tranquil-IT para estos archivos de cabecera? Como mínimo, imagino que incluye soporte de lenguaje y soporte para el protocolo HTTPS...

Encontré un script de Python para compilar los kernels disponible en /opt/wapt/waptserver/scripts, pero no parece proporcionar todos los detalles necesarios...

Muchas gracias. Que tengan

un buen día.

david.masson escribió: ↑21 de septiembre de 2023 - 14:07 Fue necesario realizar varios ajustes a los archivos de cabecera disponibles en ../src/config/*.h antes de compilar los núcleos de arranque. Actualmente estoy utilizando los proporcionados con la solución FOGProject.

Hola, no hay cambios excepto el idioma

Puedes ver la receta recopilatoria aquí:

https://wapt.tranquil.it/store/fr/detai ... PROD.wapt/ En el archivo update_package.py

Por curiosidad, ¿cómo resolvió el problema de la distribución insegura del archivo IPXE a través de TFTP?

Simón

Buenas noches,

gracias por su pronta respuesta.

No estoy seguro de haber entendido completamente su pregunta; ¿podría explicarla con más detalle? (Soy nuevo en la solución WAPT).

Que tenga una buena noche.

Saludos cordiales.

En realidad, la pregunta no es específica de Wapt.

El binario IPXE se distribuye a la BIOS mediante el protocolo TFTP (que no es seguro).

Por lo tanto, verificar el certificado HTTPS con IPXE equivale a insertar el certificado directamente en el binario IPXE durante la compilación.

Pero esto implica confiar en el binario IPXE distribuido a través de TFTP.

Dado que no tengo forma de proteger este protocolo, me preguntaba si habías encontrado alguna solución a este problema.

Hola,

para nada, simplemente añadí el certificado a los binarios "ipxe.efi" y "undionly.kpxe" durante la compilación.
Utilicé los argumentos "TRUST=cert.pem" y "DEBUG=tls,x509:3" (solo para observar el proceso). El certificado en cuestión no se generó automáticamente, sino manualmente, ya que también incluye un alias y tiene una validez de 10 años.

También estoy abierto a sugerencias para asegurar este intercambio, ya que, efectivamente, los binarios deben ser de confianza.

Hubiera preferido un certificado público emitido por una autoridad de certificación reconocida, pero el período de validez es demasiado corto para las organizaciones con las que trabajo (1 año).

Saludos cordiales.