Forum IT Tranquillo

Ciao a tutti, spero stiate tutti bene.

Vorrei riprendere la seguente discussione: viewtopic.php?t=3038.

Dopo alcune ricerche, sono riuscito a configurare i kernel di avvio di rete "ipxe.efi" (UEFI) e "undionly.kpxe" (LEGACY) utilizzando un certificato autofirmato tramite HTTPS.

Prima di compilare i kernel di avvio, sono state necessarie diverse impostazioni nei file di intestazione presenti in ../src/config/*.h. Attualmente sto utilizzando quelli forniti con la soluzione FOGProject.

Potreste fornirmi informazioni sulla configurazione iniziale fornita da Tranquil-IT per questi file di intestazione? Immagino che includa, come minimo, il supporto per la lingua e il protocollo HTTPS...

Ho trovato uno script Python per la compilazione dei kernel in /opt/wapt/waptserver/scripts, ma non sembra fornire tutti i dettagli necessari...

Grazie mille.

Buona giornata.

david.masson ha scritto: ↑21 set 2023 - 14:07 Sono state necessarie diverse modifiche ai file di intestazione disponibili in ../src/config/*.h prima di compilare i kernel di avvio. Attualmente sto usando quelli forniti con la soluzione FOGProject.

Ciao, nessuna modifica, a parte la lingua

Potete vedere la ricetta completa qui:

https://wapt.tranquil.it/store/fr/detai ... PROD.wapt/ Nel file update_package.py

Per curiosità, come hai risolto il problema della distribuzione non sicura del file IPXE tramite TFTP?

Simone

Buonasera,

grazie per la rapida risposta.

Non sono sicuro di aver compreso appieno la sua domanda; potrebbe spiegarla meglio (non ho familiarità con la soluzione WAPT)?

Le auguro una buona serata.

Cordiali saluti.

In realtà, la domanda non riguarda specificamente Wapt.

Il binario IPXE viene distribuito al BIOS tramite il protocollo TFTP (che non è sicuro).

Verificare il certificato HTTPS con IPXE equivale quindi a inserire il certificato direttamente nel binario IPXE durante la compilazione.

Questo però implica fidarsi del binario IPXE distribuito tramite TFTP.

Dato che non ho un modo per proteggere questo protocollo, mi chiedevo se aveste trovato una soluzione a questo problema.

Salve,

assolutamente no, ho semplicemente aggiunto il certificato ai file binari "ipxe.efi" e "undionly.kpxe" durante la compilazione.
Ho utilizzato gli argomenti "TRUST=cert.pem" e "DEBUG=tls,x509:3" (solo per osservare il processo). Il certificato in questione non è stato generato automaticamente ma manualmente perché include anche un alias ed è valido per 10 anni.

Sono aperto a suggerimenti per proteggere questo scambio perché, in effetti, i file binari devono essere considerati affidabili.

Avrei preferito un certificato pubblico rilasciato da un'autorità di certificazione riconosciuta, ma il periodo di validità è troppo breve per le organizzazioni con cui collaboro (1 anno).

Cordiali saluti.