S2F: Konfigurationen sichern und dropbear Paket

MaxMuster · 22 Sep 2009

Moin zusammen,

ich habe mal im Trunk zwei Optionen unter Addons for Speed-to-fritz hinzugebastelt ;-)

Zum einen kann man analog zu ds-mod / freetz ein Verzeichnis nutzen, das im Flash gesichert wird. Dazu wird der gleiche Mechanismus wie im freetz angewandt, nämlich im tffs ein eigener Node erzeugt und dessen Inhalt als tar-File interpretiert. Damit können (in begrenztem Umfang) unter /var/tmp/s2f Konfigurationsdateien usw. abgelegt werden. Mittels "save_s2f_flash" wird das dann im Flash gespeichert.

Ein weiterer Punkt ist ein statisch kompiliertes dropbear Paket (leicht erweitert), um per ssh auf die Box zugreifen zu können. Ich habe zum dropbear ein "pwcrypt" hinzugefügt, dass ein Passwort in einen "shadow"-hash umwandelt. Damit ist es möglich, in /etc/shadow ein passendes Passwort zu hinterlegen. Zur leichteren Nutzung habe ich ein Mini-Skript "drobearstart" ergänzt, das mir dem root-Passwort als Parameter aufgerufen die Keys erzeugt und das shadow-PW einträgt. Zusammen mit den Config-Knoten /var/tmp/s2f werden die Keys auch im Verzeichnis abgelegt. Wenn man das dann mit "save_s2f_flash" abspeichert, werden beim nächsten Start die gleichen Keys genutzt (und der ssh-client beschwert sich nicht über geänderte keys beim gleichen Server)...

In Zusammenarbeit mit dem "Portrulepatch", der eine Portweiterleitung auf die Box selbst ermöglicht, sollte so der sichere entfernte Zugriff auf die Box möglich sein.

Ist alles noch neu und deshalb sehr experimentell, aber ich wäre über Rückmeldungen dankbar (auch wenn ich erstmal für mindestens zwei Tage unterwegs bin und höchstens hier schreiben, aber keine Änderungen vornehmen kann).

Ein Punkt den ich noch angedacht habe: In dem neuen "rebootfesten" Ordner könnte man noch eine eigene "Autoexec"-Datei unterbringen und per rc.S starten, um dort z.B. den Start des drobpbear nach einem Reboot zu automatisieren. Momentan müsste man dafür die debug.cfg nutzen.

Viel Spaß damit ;-)

Jörg

iqjet · 24 Sep 2009

Hallo Jörg,

nunja ich bin ja wagemutig. Dropbear habe ich eingebunden, allerdings habe ich keine Rechte. Zur Zeit durchstöbere die Freetz Ecke nach passenden Lösungen. Das mit den Rechten scheint ein ongoing Feature zu sein. Es gibt viele Einträge. Puhh, das kann dauern.
Siehe auch: http://www.ip-phone-forum.de/showpost.php?p=1402064&postcount=1286

Komisch, wenn ich mit https:\\***dyndns.org zugreife die Box sich einen reboot genehmigt.
Vsftpd geht auch nicht. Klar fehlt der User/Passwort. Ohne Rechte wird das nichts...

BurningCrash · 24 Sep 2009

Was für recht meinst du denn?

MaxMuster · 24 Sep 2009

Moin,

also die Idee dahinter ist, dass man das Dropbear ohne Freetz mit drauf bekommt.
Jetzt, wo du es sagst, das ist ein wichtiger Punkt der im Skript noch fehlt, eigentlich müssten sich die beiden Dinge ausschließen, also entweder eigene Programme ohne freetz oder freetz integrieren.

Zu dem "Sicherheitsstufenproblem" gibt es im Freetz-Wiki direkt einen Punkt. Die einfachste Lösung. Mit Telnet auf die Box und dort eingeben:

Code:

echo 0 > /tmp/flash/security; modsave

Jörg

trinkfix · 14 Dez 2009

Moin,

hab gerade mal das aktuelle speed-to-fritz laufen lassen für mein W900V und die Addons Dropbear + S2F ausgewählt, leider sind die Pakete nicht im Image.

Es wird das TAR der busybox verwendet, welches aber keine z Option besitzt.

# add s2f config file
[ "$ADD_S2F_CONF" = "y" ] && subscripts2/add_s2f_configfile "${SRC}" && tar xvzf packages/s2f_flash.tgz -C "${SRC}" 2> /dev/null
# add default route
[ "$PATCH_PORTRULE" = "y" ] && $sh2_DIR/patch_portrule "${SRC}"
# add own files
[ "$ADD_OWN" = "y" ] && $TAR c -C custom/rootfs . 2>/dev/null | $TAR x -C "${SRC}" 2> /dev/null
# add dropbear files
[ "$ADD_PKG_DROPBEAR" = "y" ] && tar xvzf packages/dropbear.tgz -C "${SRC}" 2> /dev/null

ansonsten super Arbeit

viele Grüße
trinkfix

Jpascher · 14 Dez 2009

Ok, ich stelle zurück auf den normalen tar, bitte erneut auschecken.

MaxMuster · 15 Dez 2009

Komme zwar im Moment nicht dazu, es groß zu Testen oder einzuchecken, aber ich habe die Busybox-Config mal etwas angepasst (schließlich kann das tar auf der Box auch "z") ;-)

Code:

joerg@joerg-desktop:~/speed-to-fritz$ ./tools/tar 
BusyBox v1.15.2 (2009-12-15 16:03:42 CET) multi-call binary

Usage: tar -[czjaxtvO] [-X FILE] [-f TARFILE] [-C DIR] [FILE(s)]...

joerg@joerg-desktop:~/speed-to-fritz$
joerg@joerg-desktop:~/speed-to-fritz$ diff -Nur tools/make/Config.busybox.ori tools/make/Config.busybox
--- tools/make/Config.busybox.ori	2009-12-15 14:42:59.000000000 +0100
+++ tools/make/Config.busybox	2009-12-15 17:03:18.000000000 +0100
@@ -105,12 +105,12 @@
 # Archival Utilities
 #
 CONFIG_FEATURE_SEAMLESS_LZMA=y
-# CONFIG_FEATURE_SEAMLESS_BZ2 is not set
-# CONFIG_FEATURE_SEAMLESS_GZ is not set
+CONFIG_FEATURE_SEAMLESS_BZ2=y
+CONFIG_FEATURE_SEAMLESS_GZ=y
 # CONFIG_FEATURE_SEAMLESS_Z is not set
 # CONFIG_AR is not set
 # CONFIG_FEATURE_AR_LONG_FILENAMES is not set
-# CONFIG_BUNZIP2 is not set
+CONFIG_BUNZIP2=y
 # CONFIG_BZIP2 is not set
 # CONFIG_CPIO is not set
 # CONFIG_FEATURE_CPIO_O is not set
@@ -118,8 +118,8 @@
 # CONFIG_DPKG is not set
 # CONFIG_DPKG_DEB is not set
 # CONFIG_FEATURE_DPKG_DEB_EXTRACT_ONLY is not set
-# CONFIG_GUNZIP is not set
-# CONFIG_GZIP is not set
+CONFIG_GUNZIP=y
+CONFIG_GZIP=y
 # CONFIG_LZOP is not set
 # CONFIG_LZOP_COMPR_HIGH is not set
 # CONFIG_RPM2CPIO is not set      
joerg@joerg-desktop:~/speed-to-fritz$ ./tools/tar tvzf packages/s2f_flash.tgz 
drwxr-xr-x joerg/joerg         0 2009-09-22 17:02:53 usr/
drwxr-xr-x joerg/joerg         0 2009-09-22 17:03:37 usr/bin/
-rwxr-xr-x joerg/joerg       374 2009-09-22 17:03:37 usr/bin/save_s2f_flash
joerg@joerg-desktop:~/speed-to-fritz$ ./tools/tar tvzf packages/dropbear.tgz 
drwxr-xr-x joerg/joerg         0 2009-09-21 20:58:05 usr/
drwxr-xr-x joerg/joerg         0 2009-09-22 17:58:07 usr/bin/
lrwxrwxrwx joerg/joerg         0 2009-09-22 17:01:52 usr/bin/dropbear -> dropbearmulti
-rwxr-xr-x joerg/joerg       831 2009-09-22 17:58:07 usr/bin/dropbearstart
lrwxrwxrwx joerg/joerg         0 2009-09-22 17:01:52 usr/bin/ssh -> dropbearmulti
lrwxrwxrwx joerg/joerg         0 2009-09-22 17:01:52 usr/bin/scp -> dropbearmulti
-rwxr-xr-x joerg/joerg    593268 2009-09-21 20:51:22 usr/bin/dropbearmulti
lrwxrwxrwx joerg/joerg         0 2009-09-22 17:01:52 usr/bin/dropbearkey -> dropbearmulti
lrwxrwxrwx joerg/joerg         0 2009-09-22 17:01:52 usr/bin/pwcrypt -> dropbearmulti
joerg@joerg-desktop:~/speed-to-fritz$

Jörg

Jpascher · 15 Dez 2009

Habe deinen patch mal eingetragen, zurückgestellt (edit in der sp-to-fritz.sh) habe ich noch nicht auf Busybox tar.

trinkfix · 16 Dez 2009

nur mal so zum Verständnis, wieso wird hier beim Build das tar der busybox verwendet und nicht das gnu tar des systems?

viele Grüße
trinkfix

RalfFriedl · 16 Dez 2009

Um sicher zu sein, daß das tar der Busybox auf der Box das Archiv auch auspacken kann.

trinkfix · 16 Dez 2009

das TAR wird in sp2fritz aufgerufen, wusste nicht das soviele sp2fritz auf der Box laufen lassen um dort Ihre neue Firmware für die selbige zu erstellen.

viele Grüße
trinkfix

RalfFriedl · 16 Dez 2009

Ich hatte an das tar gedacht, mit dem die Firmware für die Box erstellt wird.

Languages

Suche

Languages

Suche

S2F: Konfigurationen sichern und dropbear Paket

MaxMuster

IPPF-Promi

iqjet

Mitglied

BurningCrash

Aktives Mitglied

MaxMuster

IPPF-Promi

trinkfix

Neuer User

Jpascher

IPPF-Promi

MaxMuster

IPPF-Promi

Anhänge

Jpascher

IPPF-Promi

trinkfix

Neuer User

RalfFriedl

IPPF-Urgestein

trinkfix

Neuer User

RalfFriedl

IPPF-Urgestein

Zurzeit aktive Besucher

Neueste Beiträge

Statistik des Forums