Separater httpd für WoL-CGI notwendig?

Sidebar Sidebar

Separater httpd für WoL-CGI notwendig?

  • Anzahl der Umfrageteilnehmer
    33
  • Umfrage geschlossen .
kriegaex

kriegaex

Aktives Mitglied
Mitglied seit
7 Nov 2006
Beiträge
2,927
Punkte für Reaktionen
3
Punkte
36
Wir haben uns alle daran gewöhnt, daß die Web-Oberfläche für Etherwake (Wake-on-LAN) im DS-Mod auf Port 82 erreichbar ist. Ich persönlich frage mich seit langem, ob es nicht eine Integration ins normale DS-Mod-Menü auch getan hätte. Damit könnte man sich einen separaten Webserver-Prozeß (httpd) einsparen. Stattdessen hätte man eben eine URL wie http://fritz.box:81/wol.cgi zur Verfügung, welche über einen entsprechenden Menüpunkt im DS-Mod erreichbar wäre. Die Konfigurationsseite http://fritz.box:81/cgi-bin/pkgconf.cgi?pkg=wol würde sich vereinfachen (kein Port und kein separates Paßwort mehr zu pflegen), der Start/Stop-Menüpunkt unter "Dienste" würde auch entfallen, /mod/etc/httpd-wol.conf ebenfalls.

Ich schlage daher vor, daß wir das vereinfachen bzw. vereinheitlichen und WoL direkt in die DS-Mod-Oberfläche integrieren. Gerade Besitzern schwächer ausgestatteter Boxen würde das entgegen kommen.

Nun mag es Gründe geben, weshalb der eine oder andere Benutzer WoL lieber separat in einem eigenen httpd auf einem eigenen Port haben möchte. Falls dem so ist, wäre es interessant, mehr über solche Anwendungsfälle zu erfahren. Beschreibt Sie bitte ggf. hier in diesem Thread.

P.S.: Daß WoL als Nachladelösung für Benutzer ohne DS-Mod evtl. einen eigenen httpd verwendet, ist hier nicht das Thema.
 
Zuletzt bearbeitet:
wol ist besonders von aussen praktisch. und von aussen sollte man keinerlei Zugriff auf die Konfigurationsoberfläche zulassen.
 
Dann sollte man aber auch keinen unverschlüsselten Zugriff auf Port 82 zulassen (Paßwortübertragung!!!). Ich z.B. tunnele beide Ports (81 und 82) durch eine SSH-Verbindung, und dann ist es wieder egal. Andere Möglichkeit: matrixssl vorschalten, dann wird das Paßwort verschlüsselt übertragen. Somit ist das aus meiner Sicht kein besonders starkes Argument.
 
ein httpd der als root läuft sollte niemals nach aussen sichtbar sein. egal ob man da verschlüsselt oder unverschlüsselt verbindet - passwörter überträgt oder nicht. da läuft ein Prozess den die ganze Welt erreichen kann mit root Rechten. Noch dazu einer der dazu gedacht ist die Kiste umzukonfigurieren. Und closed source ist das ganze womöglich auch noch? Mit Diensten nach aussen muss man _extrem_ Vorsichtig sein.
 
Ich seh das ähnlich wie quitte. Aber es gibt ja doch viele User, die wol so erreichen wollen und dann ist es immer noch besser, nur wol zu sehen, als den ganzen mod.
Unverschlüsselt würde ich das selbst nie tun, sonst springen meine Rechner hier irgendwann an, wie irgendwer das gerade will. ;-)
 
Genau deshalb verschlüssele ich auch: kein Bedarf, meine Rechner von anderen wecken zu lassen, während ich im Urlaub bin. Aber zurück zum Grundproblem, damit ich es auch verstehe. Geht es Euch um eine kurze, eindeutige URL, um den Mod schnell zu erreichen? Da wäre mir http://xy:81/wol.cgi genauso recht wie http://xy:82. Man könnte das CGI ja auch in einem separaten Fenster öffnen lassen (wie meine Rudi-Shell), damit der Rest der DS-Menüs nicht "stört". Oder geht es Euch darum, daß das Knacken des Paßworts für WoL gleichbedeutend wäre mit dem Knacken des DS-Mod-Paßworts? In dem Fall empfehle ich ein langes, kompliziertes PW und, wie schmatke das ja auch macht, SSL-Verschlüsselung. Die zusätzlichen Möglichkeiten wie Port-Knocking sichern das Ganze bei Bedarf noch besser ab, aber das wäre dann doch so langsam off-topic.

Ich schätze mal, es geht Euch um eine Art Schadensbegrenzung im Sinne von: Wenn ich schon unsicher arbeite, dann ist es weniger schlimm, wenn jemand meine Rechner einschaltet (kostet "nur" Energie) als wenn er auch direkten Zugriff auf sie samt Router bekommt. Richtig? Kann ich teilweise nachvollziehen, obwohl ich mich dann wieder frage, weshalb ich einen Rechner von außen einschalte, wenn nicht, um ihn anschließend fernzusteuern oder in sonstiger Form auf ihn zuzugreifen. Wenn also jemand mein WoL-Paßwort mitloggen kann, kann er auch alles andere, das unverschlüsselt über die Leitung geht, mitloggen und somit auf den Rechner im LAN zureifen. Der wiederum sieht meistens auch den Router...

Hmm, grübel... würde es allen Seiten gerecht werden, wenn man in make menuconfig zwischen zwei Varianten (separates und integriertes WoL-CGI) wählen könnte?
 
Selbst wenn man das Passwort knacken aussen vorlässt ist das noch ein Sicherheitsproblem. Ich denke da gerade an Buffer Overflows. Sehr häufig is es wenn ein Buffer Overflow entdeckt wird schon nach kurzer Zeit möglich durch den Buffer Overflow beliebigen Code auszuführen. Im Fall von einem Prozess der als root auf der externen Schnittstelle läuft ist also jedes Sicherheitsloch sofort gleichbedeutend mit vollem root Zugriff. Damit scheiden für meinen Geschmack auch Ports <1024 aus. weil unter Unix die Ports unter 1024 für root reserviert sind. Man kann das allerdings per port forwarding umgehen. genau das sollte man aber auch.
Die Rechner die ich über wol starte erreiche ich von aussen dann wohl nur noch indirekt über port forwarding. Die Fritzbox hat damit gar nichts zu schaffen ausser Packee durchreichen.
Auf was ich hinaus will: Es gibt absolut keinen Grund das für wol ein root Prozess beteiligt sein muss. Nur weil avm bisher alles als root macht ist das noch lange keine gute idee. Und das Urteil vom TÜV überzeugt mich auch nicht dass das ein gutes Sicherheitskonzept ist. Wenn man jetzt anfängt die Oberfläche mit nicht administrativem Zeug vollzustopfen hat man in der Zukunft kaum noch die Möglichkeit das Rückgängig zu machen. Sicherheit fängt nicht mit guten Passwörtern an - damit hört sie auf.
 
Ja bitte so lassen weil....
Ich dann nur Port 82 Freigeben muss und auch "Fremde" meinen Rechner wecken können um z.B. den FTP Server auf meinem Rechner zu aktivieren.
Ich denke alles andere wäre ein Sicherheitsproblem ....
 
Tip für alle, die nicht Symptome (offene Ports != SSH), Paßwortübertragung im Klartext, Buffer Overflows, sondern Ursachen bekämpfen wollen: Tunnelt WoL, Administration, Fernwartung und alles andere durch SSH. Und wer dringend WoL braucht, aber keinen SSH-Zugang herstellen kann, dafür aber eine Box mit Telephoniefunktion hat, kann es machen wie ich und unbenutzte ISDN- oder VoIP-Nummern via Callmonitor zum Aufwecken der Rechner zu benutzen: kein Interface = kein Ausnutzen von Buffer Overflows.

Ich ziehe mal aus der bisherigen Mehrheitsmeinung das Fazit: WoL-CGI auf Einzelport ist das geringere Übel, wenn unverschlüsselt. Das ist wohl wahr, und da offenbar viele es so benutzen, werde ich mir das höchstens zum Spaß privat so einrichten, daß ich alles in einem habe. Ich nutze ja sowieso meistens die Variante mit dem Telephon und ob meine SSH-Verbindung nun drei oder vier Ports tunnelt, ist im Grunde auch egal.

Danke für die bisherigen Meinungen, Ihr habt mir sehr geholfen. Das IPPF ist einfach klasse! :)
 
Zuletzt bearbeitet:
Linux ist intelligent beim Speicher-Sharing: wird das gleiche Binary z.B. 2x geladen, teilen sich beide Prozesse die entsprechenden Ram-Bereiche, erst wenn Daten geschrieben (verändert) werden, werden Kopien der Bereiche erstellt (gg: Copy on Write). Der RAM-Bedarf sollte also durch weitere httpd-Prozesse, nicht dramatisch steigen. Von daher würde ich das Ressourcen-Argument nicht soo strapazieren, müsste man mal versuchen auszumessen, was es bringen würde...

Was die anderen Fakten angeht: hat alles Vor- und Nachteil... wie soll ich mich denn entscheiden :)
 
Nein
Schon der extra httpd für den ds-mod ist unnötig.
 
Nicht ganz falsch, shadow. Du hattest ja mal z.B. die Rudi-Shell einfach auf dem websrv von AVM laufen lassen, eine Idee, auf die ich gar nicht gekommen war. Funktioniert tatsächlich problemlos, ich habe es dann auch probiert. Das Thema, ob man den httpd, so klein er auch ist, überhaupt braucht, wäre mal eine Extra-Diskussion wert.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 619 (Mitglieder: 41, Gäste: 578)

Neueste Beiträge

Statistik des Forums

Themen
246,695
Beiträge
2,256,122
Mitglieder
374,684
Neuestes Mitglied
kaj
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück