[Problem] Auffälligkeiten/Fehler bei Freetz-Build für 7590

(* Ich will zwar nicht den Rahmen dieses Themas sprengen, aber es interessiert mich schon ein wenig, "wer" eigentlich eher "Verantwortlicher" für das Freetz-Projekt [https://github.com/Freetz/freetz] ist. "Wer" entwickelt es weiter? An "wen" oder "wo" könnte man sich "offiziell" bei Problemen melden?
Wenn dies zu "anstrengend" oder "unpassend" ist, BITTE einfach IGNORIEREN.
*)
 
Eigentlich bist Du hier im Unterforum schon vor der richtigen Schmiede, wenn es eher um "Support" geht als um eine "Fehlermeldung" (aka "Issue" - da wäre dann GitHub u.U. zu bevorzugen, aber besser erst dann, wenn man sicher ist, daß der Fehler auch tatsächlich "im System" liegt) ... die "handelnden Personen" im Freetz-Projekt kannst Du Dir im GitHub-Repository ansehen: https://github.com/orgs/Freetz/people

Ansonsten gibt es eben noch das Freetz-NG als Fork, wo manches durchaus "neuer" ist als beim o.a. Projekt - trotzdem betreibe ich meinen eigenen Fork mit einigen Änderungen ggü. dem originalen Freetz-Projekt auf der Basis ebendieses "Originals" ... ich bin aber eben auch nur an der Toolchain und ein paar Paketen wirklich interessiert bzw. benutze da den Freetz-Fork als "billige Quelle" für die Bereitstellung der nach GPL geforderten Dateien. Andere Beteiligte am Freetz-Projekt konzentrieren sich dann auch eher auf bestimmte Modelle (wie @f666 nach meinem Dafürhalten/Wissen bei den Cable-Boxen).

Insgesamt kann man schon behaupten, daß das Freetz-Projekt (oder zumindest größere Teile davon, speziell bei den Modifikationen bestehender AVM-Funktionen und bei den Änderungen am eigenen GUI - wo Freetz-NG einiges nachgeholt hat, was in den letzten Jahren liegengeblieben war) einigermaßen "tot" ist ... die umfangreichsten Änderungen gab es in den letzten Monaten eigentlich immer nur beim "version bump" für existierende Pakete oder neue FRITZ!OS-Versionen oder beim Hinzufügen von ein paar wenigen Paketen bzw. bei der Unterstützung zusätzlicher Modelle von AVM.

Aber AVM macht es da eben den "Moddern" auch nicht gerade leicht(er) (und durchaus zurecht, wenn es um die Frage der "einfachen Änderungen" geht, die jeder Angreifer dann auch ausführen könnte) ... und auch die immense Verbreiterung der Produktpalette (verschiedene Plattformen, was zuvor auch in dieser Form nicht existierte) stellt(e) das Projekt vor größere Herausforderungen, ebenso natürlich viele Änderungen am "Unterbau", die heute dazu führen, daß viele der "remove patches" gar nicht mehr richtig funktionieren und auch viele andere Patches (bei der 07.19 sogar derjenige, mit dem sich Freetz erst einmal überhaupt in die Initialisierung des Systems einklinkt) inzwischen nicht mehr an der richtigen Stelle oder im richtigen Umfang greifen.

Willst Du also irgendwas "Offizielles" haben ... das Unterforum hier ist schon das "offzielle": https://freetz.github.io/wiki/index.html#HilfeundSupport - solange es um diesen "Fork" von Freetz geht (der so etwas wie der "Urvater" der anderen, inzwischen auch wieder der von "Freetz-NG", ist). Der Support für Freetz-NG mag teilweise sogar "rühriger" sein (das kann ich schlecht einschätzen), aber er findet eben in anderen Boards statt, die es mit der Einhaltung deutschen Rechts nicht ganz so genau nehmen und daher sind hier Verweise auf diese(s) Board(s) auch i.d.R. tabu.
 
Ich versuche mich so gut es geht um die 6490 und 6590 zu kümmern.
Bei der konkret von @PeterPawn vorgeschlagenen Änderung zu der .config.compressed bin ich im Zwiespalt, ob ich den Request nehmen soll oder nicht. Ich selbst verwende da nur ein Wegwerfpasswort. Eventuell reagiert ja @er13.
 
@f666:
Das ist halt nur ein erster schneller Versuch, um das erst einmal zu "entschärfen" - es ist auch nicht das erste Mal, daß ich eine ".config" mit dem Kennwort sehe und in "fwmod" wird es ja - richtigerweise - auch explizit aus der Kopie der ".config", die ins Image kopiert wird, entfernt: https://github.com/Freetz/freetz/blob/master/fwmod#L1292

Und daß mit dem kleinen Patch das Kennwort noch nicht aus der eigentlichen ".config" entfernt wird, wenn die jemand (was die "Support-Richtlinien" ja eigentlich fordern) zu einer Fehlermeldung dazupackt, ist logischerweise weiterhin ein "offenes Problem" - das steht aber auch im "Begleittext" des PR.

Zumindest kann man mit diesem Patch dann wieder guten Gewissens zum "Vorzeigen" der ".config" auffordern, wenn man nicht vergißt zu erwähnen, daß man eigentlich die ".config.compress" meint (die ohnehin sinnvoller ist, weil man da die Auswahl direkt sehen kann und nicht erst lange blättern muß).

=====================================================================================

Ich bin ohnehin immer wieder mal am Werkeln an einer verbesserten "sign_image"-Implementierung (schon wieder recht lange, weil eben nie etwas "fertig" ist und es immer andere/neue Baustellen gibt - die Branches dafür in YourFritz existieren jetzt auch schon seit fast zwei Jahren), welche dann auch ein kleines Skript zur Passwort-Eingabe enthalten wird, das auf "pinentry" setzt (wenn es gefunden wird - man muß das Rad ja nicht immer wieder neu erfinden) für die Eingabe, solange es im Cache oder im Environment nichts finden kann.

Wobei mir etwas unklar ist, wie Du das mit einem "Wegwerf-Passwort" machen willst ... es geht hier ja um das Kennwort für den privaten Schlüssel und der selbst ist "per Definition" ja auch nicht zum Wegwerfen (damit irgendwie das Passwort für ihn ja auch nicht).

Das Signieren macht ja nur dann Sinn, wenn man den öffentlichen Schlüssel in das Image integriert (so, wie es Freetz auch macht) und dann das nächste Image wieder mit demselben Key signiert und der braucht dann natürlich auch wieder dasselbe Kennwort für den privaten Schlüssel (wenn man dessen Kennwort nicht zwischendrin von Hand geändert hat).

Vielleicht haben wir auch von einem "Wegwerfpasswort" nur sehr unterschiedliche Vorstellungen (speziell hinsichtlich seiner "Lebenszeit") ... aber wenn es publik wird wie hier, kann man es - natürlich nur zusammen mit dem Key-File, welches ansonsten aber keines weiteren Schutzes bedarf bei seiner Speicherung, wenn man von funktionierender AES-128-Verschlüsselung des Inhalts ausgeht - für das Signieren von Images "mißbrauchen", die von jedem Image, welches den passenden öffentlichen Schlüssel enthält, auch ohne zu murren akzeptiert werden (bis hin zur Ausführung von solchen Images vom USB-Stick, sofern die Image-Datei den passenden Namen für vorhandenes DECT-Zubehör hat).

Das Signieren an sich macht aber eben nur dann Sinn, wenn man dafür EINMALIG ein eigenes Schlüsselpaar generiert und das dann immer wieder (oder zumindest bis zu einem gezielten und absichtlichen Wechsel) verwendet - das paßt für mich mit der Vorstellung von einem "Wegwerf-Passwort" irgendwie nicht zusammen.
 
Ich mische mal 'ne konkrete Frage dazu ein: Wie ändere ich dieses Signatur-Kennwort?
Welche Dateien/Ordner müsste ich im Homeverzeichnis konkret löschen (damit eine neue Signatur mit neuem Kennwort angelegt wird)?
  • .freetz.image_signing.asc
  • .freetz.image_signing.key
  • .freetz.image_signing.pem
  • .freetz.image_signing.rnd
  • .freetz-signature
Oder einfach alle löschen? Oder gibt es einen direkten Weg zum Erneuern des Kennworts?
 
Ex.:
Code:
vidar:~ $ openssl rsa -in YourFritz.key -out YourFritz.key.with.new.password -aes128
Enter pass phrase for YourFritz.key:
writing RSA key
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
vidar:~ $
Umbenennen danach nicht vergessen, die Kennwort-Eingaben sind (verständlicherweise) "unsichtbar".

Gelöscht muß da gar nichts werden. Was sich hinter ".freetz-signature" verbirgt, weiß ich nicht - gibt's bei mir auch schlicht nicht.

Die anderen Dateien gehören zum "Signatur-Thema". Was da jeweils drin steht, habe ich in dem Thread zum Signieren beschrieben - die Suche sollte da helfen können.
 
@f666:
Das ist halt nur ein erster schneller Versuch, um das erst einmal zu "entschärfen" - es ist auch nicht das erste Mal, daß ich eine ".config" mit dem Kennwort sehe und in "fwmod" wird es ja - richtigerweise - auch explizit aus der Kopie der ".config", die ins Image kopiert wird, entfernt: https://github.com/Freetz/freetz/blob/master/fwmod#L1292

OK, das war mir nicht klar. Damit sieht es anders aus. Der Patch ist dann konsequent.

@f666:
Wobei mir etwas unklar ist, wie Du das mit einem "Wegwerf-Passwort" machen willst ... es geht hier ja um das Kennwort für den privaten Schlüssel und der selbst ist "per Definition" ja auch nicht zum Wegwerfen (damit irgendwie das Passwort für ihn ja auch nicht).

Ich meine damit kein besonders starkes bzw. individuelles Passwort. Selbst wenn jemand das Passwort kennt, bräuchte er immer noch den Schlüssel von meiner Festplatte, um Schabernack zu treiben. Das Risikio gehe ich an dieser Stelle ein.
 
noch mal zu: [x] Awk [*] Enable math functions (requires libm)
Als Workaround würde ich (nur als Idee) mal versuchen, die BusyBox ohne das "trylink" zu linken - iirc gibt es da irgendwo auch eine Option, ob diese Tests mit dem Ziel, das Binary mit so wenig "footprint" wie möglich auszustatten, ausgeführt werden sollen oder nicht.
Ich würde es auch mal versuchen, aber ich weiß gar nicht, wie ich den Versuch starten könnte?
  • (* Was ist iirc ? *)
  • (* Oder alle Inhalte vom trylink-script auskomentieren? *)
  • (* :rolleyes:??? *)
 
Zuletzt bearbeitet:
Dann müßte es aber: Wimre heißen ;)
 
Das Linken der BusyBox mit der "libm" sollte auch wieder funktionieren, wenn Du die Option "FREETZ_BUSYBOX_PIE" aktivierst - zu finden unter "Busybox applets -> Busybox Settings -> Build BusyBox as a position independent executable".

Die "libm" ist halt auch als "position independent code" erstellt:
Rich (BBCode):
pi@pi4:/media/pi/extern_10_320/pi4/builds/7590 $ file toolchain/build/mips_gcc-5.5.0_uClibc-1.0.14-nptl_kernel-3.10/mips-linux-uclibc/lib/libm-1.0.14.so
toolchain/build/mips_gcc-5.5.0_uClibc-1.0.14-nptl_kernel-3.10/mips-linux-uclibc/lib/libm-1.0.14.so: ELF 32-bit MSB pie executable, MIPS, MIPS32 rel2 version 1 (SYSV), dynamically linked, interpreter /lib/ld-uClibc.so.1, with debug_info, not stripped
pi@pi4:/media/pi/extern_10_320/pi4/builds/7590 $
(das erfordert etwas andere Initialisierungen von Funktionsaufrufen) und daher muß das von der BusyBox beim Aufruf von Funktionen aus der "libm" verwendete Interface (ABI) auch zur Library passen.
 
Allerdings ist es recht offensichtlich, dass "Hab vielen Dank für die Antwort" gemeint ist.
 
Meinst Du? Dann war mein erster Gedanke ja vielleicht doch richtig ... und der zweite: "Hast vollen Durchblick für dein Alter." wäre als Interpretation ebenso unzulässig, wie weitere Ideen, was da gemeint sein könnte (bis hin zum "f-word" beim vierten Buchstaben)?

Ich wollte damit auch nur darauf hinweisen, daß ich nicht einfach "blind" irgendwelche Abkürzungen selbst erfinde aus lauter Schreibfaulheit (Iwdandh,dinebiAsealS) und man eigentlich immer mit einer geeigneten Suchmaschinen-Abfrage auch ermitteln kann, was bei mir so an "Abkürzungen" in den Texten auftaucht.
 
Ich glaube zwar nicht bedingungslos ans Gute im Menschen, aber ich wähle gerne die Interpretation, bei der man sich nicht ärgern muss - also : ja ;)
 
Hallo... kommen wir von den Wörtern auf der Goldwaage und den Wortspielen dabei zum Wesentlichen:

PeterPawn, du hast dich der diskutierten Sachverhalte angenommen, dir dazu Gedanken gemacht und sie mit vielen Worten hier ausformuliert. Dabei entwickeltest du Lösungen für die aufgeworfenen Probleme, so dass ich meine Vorhaben umsetzen konnte, vielen Dank dafür.

Daneben wünsche ich mir noch, dass deine Lösungsansätze auch in das Freetz-Projekt einfließen werden. Einige erste Gedanken wurden dazu ja schon ausgetauscht.

bis zum nächsten Problem...
FischersFreetz
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.