Dropbear komplett mit OpenSSH ersetzen?

B

boba23

Guest
Hallo Leute,

ich suche grad ne Möglichkeit relativ einfach mindestens den Dropbear SSH Client durch OpenSSH zu ersetzen. DB ist für meine Zwecke einfach zu mager. Sicher gut für ein minimales System wie es nun ma für die meisten Boxen ratsam ist, aber bei der 7270 mit 16mb dürfte wohl auch OpenSSH den Bock nicht so fett machen.
Hat das schon ma wer gemacht und hingekriegt. Also Dropbear raus und als SSH Lösung OpenSSH Server/Client integriert? Ich meine der SFTP-Server läuft ja auch und kommt vom OpenSSH Package.
Wenn ja wäre ich sehr dankbar für Tipps und Anregungen. Bin noch en ziemlich Freetz Neuling, aber in Sachen Linux doch sehr erfahren. Trotzdem wäre mir ein möglichst einfacher Weg zur OpenSSH (mindestens Client und Tools) Integration sehr lieb. Server brauch ich nicht zwangsweise, da tuts Dropbear auch.

Danke

boba
 
Wenn Du mit Linux schon erfahren bist, sollte Freetz auch kein Problem sein. Freetz bringt den Cross-Compiler mit und verschiedene Skripte/Makefiles, um diesen Compiler auf die verschiedenen Pakete anzuwenden. Außerdem gibt es noch die Funktionen, um die Firmware zu Entpacken, zu modifizieren und die neue Firmware zu erstellen.

Zunächst mußt Du wissen, welche Voraussetzungen OpenSSH benötigt.
Dann nimmst Du ein Makefile von einem anderen Paket und paßt es für OpenSSH an. Die generelle Vorgehensweise ist im Wiki beschrieben.
 
Was kann denn dropbear nicht?

MfG Oliver
 
Es gibt da schon spezielle Sachen. Irgendjemand hat schon danach vor Paar Monaten gefragt. War das nicht zufällig boba23? Aber die Frage ist berechtigt, Oliver. Ich wollte sie auch stellen und bin auf die Antwort gespannt.
Im Prinzip gibt es ja doch noch FTP mit SSL. Man könnte auch darüber eine sichere Verbindung aufbauen. Ich weiß allerdings nicht, ob wir auf der Box einen Client dafür haben. Und selbst dann ist es nur ein reiner Filetransfer. Will man dagegen commandos remote ausführen, muss man dann schon ssh-client haben.

MfG
 
ja toll... Die Frage von Oliver war nicht, was OpenSSH-Client alles kann, sondern was er kann, was dropbear nicht könnte.

MfG
 
ja toll... Die Frage von Oliver war nicht, ...
Schon klar. Mein Beitrag soll auch nicht als Antwort auf die Frage von Oliver verstanden werden. Ist nur für evtl. interessierte Mitleser gedacht.;)
 
Das Problem ist, dass (ich behaupte das einfach so) 95% bis 98% der Normalfälle bestimmt mit dropbear abgedeckt werden können. Und für die restlichen 2% - 5% der speziellen Sonderfälle lohnt es sich vielleicht gar nicht das mehrseitige Manual zu lesen. Wenn jemand ein solches Problem bereits hatte, könnte er uns darüber vielleicht was erzählen. Ich kann von der damaligen Diskussion mich nur dunkel daran erinnern, dass es wirklich um irgendeinen Sonderspezialfall mit Zertifikaten, mehreren Benutzer usw. gehandelt hat.

MfG
 
Mal ein paar Gedanken auf die Schnelle:
Im freetz ist ja openssh schon für dropbear mit sftp drin; dass das komplette openssh nur für sftp genutzt wurde, hat mich gleich geärgert, aber es war ja auch nur ein "quick hack".
Im gleichen Stil mal dieser Patch, der unter der Rubrik "openssh" auch den openssh client zum Auswählen anbietet.

Mein Vorschlag für einen Deal ;-) Schau dir das an, ob es dir hilft und mach es dann noch "hübsch", indem du noch mehr Optionen (Tools, SSH-Server ...) hizufügst.


Jörg
 

Anhänge

  • openssh.diff.gz
    1.2 KB · Aufrufe: 15
Solange jemand OpenSSH selbst integriert und nicht ankommt mit "mach mal einer für mich", habe ich damit kein Problem.

Eine nette Sache, die ich schon mal bei Dropbear vermißt hatte, war Agent Forwarding. Es war mir damals aber nicht so wichtig gewesen. Vielleicht ist es inzwischen auch schon im Dropbear enthalten.
 
Da gibt es ja immer zwei Möglichkeiten: Die "einfache" mit "configure" ein paar "Flags" und "make" erfordert dann zum einen "größeren" Aufwand, um das von Hand ins Image zu bringen und muss immer wiederholt werden.
Die "bessere" Lösung ist wohl die, das per Freetz-Package zu machen, auch deshalb, weil das dann einfach an andere weitergegeben werden kann.
Und wenn man da was "besonderes" will, ist es (zumindest für mich) bald schon sehr komplex: Wie mache ich sinnvoll ein Paket, welches mehrere Binaries erzeugt?? Wenn jemand dazu noch was einfällt, denn meine "Lösung" ist vermutlich weder failsafe (wenn kein binary gewählt wird) noch besonders elegant...

Nur am Rande: Wie könnte ich denn z.B. LDFLAGS für ein Binary setzen, ohne das configure meckert, dass das hier aber anders ist, als im cache?

Jörg
 
Hi Max,

danke für deinen Input. Zu dem Schluss die Sache über ein richtiges Paket zu versuchen bin ich auch schon gekommen, Frage ist da auch wie komplex das wird und ob ich die Zeit hab :) Eigentlich war ich eher auf der Suche nach einem dirty hack für mich ;-)
Denke das komplette, saubere einbinden von OpenSSH (also inkl. aller binaries und Server + Startup Scripte, Freetz CGI etc.) übersteigt meine zeitlichen Möglichkeiten deutlich. Ich werd mal damit anfangen ob ich die Client bins so wie du in der priv. message sagtest einfach kompiliert bekomme und nutzen kann. Wenn das ma geht seh ich weiter ...
PS: Mehrere Binaries erzeugen muss doch eigentlich drin sein, bei Dropbear wird ja z.b. auch nicht nur "ein" ssh binary erzeugt, mindestens ja mal noch dropbearkey ....

boba
 
Mehrere Binaries zu erzeugen ist nicht das Problem, sondern die Auswahl. Vermutlich habe ich den schwierigeren Ansatz gewähl, wenn ich mir das heute nochmal überlege wäre die andere, vermutlich einfachere Option: "make all" und dann, je nach Wahl im Menu, die entsprechenden Binaries ins Image kopieren...
Bei "dropbear" gibt es übrigens wenn ich das recht erinnere nur "dropbearmulti", der dann per Link mit der gewünschten Funktion aufgerufen wird.

Das "normale" Cilentbinary sollte der Patch auch schon so erzeugen und ins Image bringen, es heist dann "openssh".

Jörg
 
Mal ein paar Gedanken auf die Schnelle:
Im freetz ist ja openssh schon für dropbear mit sftp drin; dass das komplette openssh nur für sftp genutzt wurde, hat mich gleich geärgert, aber es war ja auch nur ein "quick hack".
Im gleichen Stil mal dieser Patch, der unter der Rubrik "openssh" auch den openssh client zum Auswählen anbietet.

Mein Vorschlag für einen Deal ;-) Schau dir das an, ob es dir hilft und mach es dann noch "hübsch", indem du noch mehr Optionen (Tools, SSH-Server ...) hizufügst.


Jörg

Ach herrje, das hier hab ich ja jetzt erst gelesen :) Super und danke für deine Mühe. Werd den Patch gleich heute Abend zu Hause mal testen.

boba
 
Gerne. Und zu deinen Bedenken, das sei alles so komplex: Es gibt übrigens mehrere Pakete, die nur Binaries ins Image bringen und keine GUI. Ich komme heute wohl nicht dazu, aber evtl. werde ich den "make all"-Ansatz nochmal umsetzen. Der Aufruf müsste dann erstmal von Hand geschehen (ist bei bei den Tools und einem SSH-Client ja wohl meistens [ja, nicht immer ;-)] der normale Einsatzfall; beim Server könnte man sicherlich die GUI des dropbear "kapern" und auch einen anderen Server erweitern)


Jörg
 
Wie gesagt, ich bin halt noch ziemlich neu in der Freetz Umgebung. Kann das noch in keinster Weise abschätzen wieviel Aufwand das wird sauber ein Paket einzubinden.
Was ich mir auf jeden Fall auch noch in dem Zusammenhang ankucken wollte, ist "autossh". Damit hatte ich meine Tunnel vorher zuverlässig unter Debian laufen. Denke das sollte auch recht schmerzfrei machbar sein, da wir hier tatsächlich nur über eine Binary reden.

boba
 
Hatte noch etwas Zeit. Du könntest das ja mal testen.
Da ich momentan keine Box zum Testen habe, ist die GUI komplett ungetestet, zudem nur 1:1 von der dropbear GUI umkopiert, die Optionen müssen auf jeden Fall noch überprüft werden!!!

Da neue Dateien mit Rechten dazugekommen sind, nur die Veränderung vom dropbear-sftp als Patch, das komplette Verzeichnis make/openssh als ".tgz" (vorher das Verzeichnis löschen).

Jörg
 

Anhänge

  • openssh_make.tgz
    6.6 KB · Aufrufe: 4
  • dropbear.diff.gz
    253 Bytes · Aufrufe: 7
sshfs

Tut mir leid, dass ich das fachsimpeln kurz unterbreche.
Ich nutze dropbear unter "54.04.70freetz-devel-3393".
Mir gelingt das einbinden eines sshfs nicht.

Code:
mellhen@mellhen-home:~/download/torrent$ sshfs [email protected]:/var/media/ftp/ fritz.box/
[email protected]'s password:
remote host has disconnected

Unterstützt dropbear diese Möglichkeit überhaupt? Brauche ich dafür ggf openssh? Sollte ich es brauchen, könnte man für openssh eine Option bei "package selection" --> "standard packages" anbieten? .. unter dropbear wird ja bereits SFTP angeboten, welches laut Hilfetext "This option adds SFTP support to dropbear by using OpenSSH's SFTP server." auf openssh aufbaut (Teile davon nutzt?).

Aktuell verwaltet meine fritz.box meine torrents via transmission + transgui.
Ich kann mithilfe von dolphin und dessen fish:// Protokoll wunderbar auf die Fritzbox zugreifen und auch Dateien "herunter"laden. Nur "hoch"laden funktioniert nicht. Daher wollte ich sie via sshfs einbinden. Was zu oben genannten Problem geführt hat.

Wäre über eure Hilfe sehr dankbar.
H.i.M
 
Zuletzt bearbeitet:
Unterstützt dropbear diese Möglichkeit überhaupt? Brauche ich dafür ggf openssh?

Ja, dropbear unterstützt das. Du solltest auch den Port auf dem der dropbear lauscht, angeben. OpenSSH wird nicht benötigt. Mit meinem FreeBSD funktioniert das einwandfrei (im LAN, im VPN, im Internet):
avalon# sshfs -oPort=xxxxx [email protected].###.253:/var/media/ftp/uStor01 fritzbox/
[email protected].###.253's password:
avalon#
avalon# cd fritzbox
avalon# pwd
/usr/home/avalon/fritzbox
 
Zuletzt bearbeitet:
Wenn kein Port angegeben wird, dann sollte der Defaultwert aber 22 sein. Und im Beispiel oben ist der Port richtig, sonst würde nicht nach einem Paßwort gefragt.
Das Problem liegt vermutlich irgendwo beim Server.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.