Freetz für 6490?

[PeterPawn]

Entweder Du läßt die Toolchain bei Dir selbst bauen (entsprechende Einstellung in "make menuconfig" setzen) oder Du mußt halt die manuellen Vorbereitungen für die Verwendung einer Download-Toolchain treffen (u.a. diese Toolchain selbst laden und an der richtigen Stelle ablegen). Wie das geht, steht in den Thread/Beitrag, wo es um die Download-Toolchain für die 6490 geht (Link müßte ich selbst erst suchen).

Das wird sich auch erst ändern, wenn die Dateien alle "offiziell" integriert sind und auf den "üblichen" Servern liegen - der Download-Server, auf dem das bisher liegt, ist vermutlich noch nicht in der Liste der "Kandidaten" (vielleicht wäre das auch noch einen Patch wert, diese Liste zu ergänzen).

 

[sub77]

f-666 hat hier im thread zwei links für die toolchains gepostet. downloaden und in dl/ kopieren.

 

[prisrak1]

git clone --branch 6590 https://github.com/f-666/freetz.git freetz-fb6590
kann man beide boxen auswählen

beim Toolchains: build own toolchains ausgewählt
die beiden i686..lzma toolchains von
#67 f666,
in dl/ kopiert
den kernel 6490_06.85-release_kernel.tar.xz in dl/fw / und bei 6590 angepasst

Spoiler: 6490

make: *** [dl/fw/6490_06.85-release_kernel.tar.xz] Fehler 1
freetz@freetz-linux:~/freetz-fb6590$ make
rm -f -r source/kernel/ref-puma6-6490_06.85
mkdir -p source/kernel/ref-puma6-6490_06.85
checking structure... tools/tar-gnu: This does not look like a tar archive
tools/tar-gnu: Skipping to next header
tools/tar-gnu: Exiting with failure status due to previous errors

ERROR: KERNEL_SOURCE_CONTENT is empty
make: *** [source/kernel/ref-puma6-6490_06.85/.unpacked] Fehler 1

bei 6590 gleiche Meldung bei ohne replace kernel. keine img für die beiden f.boxen lassen sich mit oder ohne replace kernel bauen.

 

[f666]

Wenn man die Toolchain selbst baut, muss man nicht die Archive unter dl/ platzieren.

Die Fehlermeldung ist recht eindeutig: 6490_06.85-release_kernel.tar.xz scheint kein gültiges .tar-Archiv zu sein. Irgendetwas ist wohl schief gelaufen beim umpacken.

Zwei Möglichkeiten:

gunzip GPL-release_kernel.tar.gz
xz GPL-release_kernel.tar
mv GPL-release_kernel.tar.xz 6490_06.85-release_kernel.tar.xz

gunzip -c GPL-release_kernel.tar.gz | xz -z > 6490_06.85-release_kernel.tar.xz

 

[prisrak1]

Es hat endlich geklappt! Vielen Dank an alle Beteiligten. Jetzt wird getestet

 

[prisrak1]

Hab meine ersten Fortschritte gemacht und würde gern bei der Entwicklung der freetz der f.b 6490 usw. unterstützen. Hab´ne Menge Zeit und Lust dazu euch zu unterstützen. Wenn ich irgendwie behilflich sein kann, z.B ein img zu bauen und zu testen, oder sonstiges, bin gern dabei..

Hab denke ich mal eine gute Ausgangslage:
downstraem: 4240000 / 265000 kbit/s, Und einige Erfahrungen um eine Feeitz zu bauen. Bin nicht gerade der beste, aber ich lerne gern dazu.

 

[f666]

Eine noch offene Aufgabe ist es, die ganzen Optionen und Pakete von Freetz für die 6490 1. auszuwählen bzw. zu bauen und das dann 2. auf der Box zu testen.

Das ist der falsche Thread für dieses Thema, bitte einen Mod darum, diese beiden Beträge zu verschieben.

 

[PeterPawn]

@prisrak1:
Da nicht jede Modifikation automatisch "Freetz" sein muß (was ist "Freetz" eigentlich genau - wenn Du es mit eigenen Worten beschreiben wolltest?) und es für "Freetz" hier ja ein eigenes Unterforum gibt, wäre das vielleicht der bessere Platz für solch ein Angebot.

Man kann auch eine selbst geänderte Firmware verwenden (ob mit Freetz geändert oder wie auch immer, spielt dabei keine Rolle), aber das ist - gerade bei der 6490, wo sich die Fragen häufig genug schon darum drehen, wie man die Retail-Firmware auf eine ehemalige Provider-Box (oder die alte internationale Version der Box) bekommt - ein deutlicher Unterschied. Wer nur seine Box mit der Retail-Firmware ausstatten will, der braucht absolut kein Freetz - dem reicht die originale Firmware von AVM aus und auch wenn die bei der Installation über den Bootloader nicht auf korrekte Signatur geprüft wird, sollte man das spätestens dann (vor der Verwendung so eines Images) von Hand selbst machen, wenn man die Datei nicht direkt von AVM erhalten hat.

Die Datei für eine solche Prüfung gibt es in meinen YourFritz-Repo, die Beschreibung dann hier und den öffentlichen Schlüssel von AVM (aus einer (fast) beliebigen AVM-Firmware für die 6490 zu extrahieren) dann hier - ich würde (leider) jede Wette eingehen, daß nur jemand (auch anonym bzw. "neu" in der "Szene", damit das nicht auf irgendwelche Begründungen für ein wie auch immer geartetes (Gott-)Vertrauen hinauslaufen kann) irgendwo eine "fertige AVM-Firmware 06.87 mit eingebautem Telnet-Zugang" anbieten müßte, damit sich die Leute (zumindest einige "Spezialisten") auch darauf stürzen und diese installieren ... und zwar ohne jede Ahnung, was da noch so enthalten sein könnte.

Und das kann alles mögliche sein ... von "echter" Malware bis zum (stillen) Crypto-Miner - wer auf den Download so eines fertigen Images angewiesen ist (oder wäre), der findet dann auch nicht die dort versteckten Funktionen eines Fremden.

Das wäre ja auch nicht das erste Mal, daß sich jemand über solche Binärdateien mit Schadcode infiziert (ob das nun eine "präparierte Firmware" ist oder ein gecracktes Spiel oder irgendeine beliebte Software, die sich dann ohne passenden Lizenzschlüssel installieren läßt) ... niemand sollte erwarten, daß einem irgendein Virenscanner (ob man die für Schlangenöl hält oder nicht, spielt dafür keine Geige) hier auch nur den Ansatz einer Warnung anzeigen würde (außer die Datei kommt obendrein noch von einer als Malware-Schleuder bereits bekannten Site). Auf dem Auge ist jeder Scanner blind - schon weil der keinen Schimmer davon hat, wie er in ein SquashFS4-Image mit der Firmware "hineinsehen" sollte.

Ich will niemandem hier im Forum etwas Böses "andichten" ... es geht mir darum, daß so ein Vorgehen eigentlich generell "pfui" ist. Wenn jemand so etwas macht (ich habe mich lange genug damit sehr schwergetan), dann sollte derjenige auch alles andere dazutun, damit man wenigstens sicher sein kann, wer am Ende für gefundenen Schadcode verantwortlich ist ... dazu gehört also im Minimum die eigene, elektronische Signatur. Selbst wenn die nur "aus der Community" (oder auch gar nicht zusätzlich) beglaubigt sein sollte, verhindert sie doch wenigstens prinzipiell, daß sich der Autor so eines Images hinterher dann damit herausreden kann, der Schadcode käme von jemand ganz anderem.

Es wird in näherer Zukunft (das sind für mich ca. 3 Monate) eine "Demo" geben, wie man sich als Firmware-Modifikation in einer FRITZ!Box so weit "festkrallen" kann, daß man auch durch ein reguläres Firmware-Update mit originaler AVM-Firmware nicht ohne weiteres entfernt wird (wenn AVM das weiterhin so wie bisher installieren läßt) - ich hoffe einfach, daß spätestens dies dann jedem die Augen öffnet (oder noch bestehende Zweifel an der Simplizität ausräumt). Auch wenn der primäre Grund für eine solche Veröffentlichung nicht direkt darin besteht ... denn das ist natürlich auch dafür nützlich, daß man nicht länger auf AVM-Updates verzichten muß (oder diese nur auf speziellen Wegen installieren darf, wenn man eigene Änderungen nicht sofort wieder verlieren will), nur weil man einige eigene Änderungen an der Firmware für sinnvoll und nützlich hält. Da sich ja AVM auch noch mit der Zustimmung zu "argo" besondere Update-Rechte einräumen läßt, die von keiner "Auto-Update"-Einstellung mehr beeinflußt werden, sinkt das Vertrauen in die automatischen Updates von AVM (zumindest bei mir, weil mir absolut kein plausibler Grund einfallen will, warum AVM hier die vorhandenen Einstellungen einfach ignorieren will) noch etwas mehr.

 

[prisrak1]

PeterPawn Vielen Dank für deine Erläuterungen und Hinweise.
Von den Ortsteilen der Gemeinde Lengenbostel im Landkreis Rotenburg: "Freetz" laut Wikipedia, war mir bis heute auch noch nichts bekannt gewesen. Somit bin ich davon ausgegangen, dass jede Modifikation an der AVM Software der FRITZ!Boxen, hatte was mit Freetz zu tun. Den Begriff werde ich nicht mehr nutzen, da es anscheinend verschiedene Deutungen gibt.
Bezüglich der Sicherheit ...
So habe ich das natürlich noch nicht aus diesem Blickwinkel gesehen. Die ganzen Möglichkeiten waren mir bis jetzt eigentlich auch nicht bewusst gewesen. Meine Absichten waren nur gut gemeint. Auch wenn ich's wollte, bin ich noch lange nicht in der Lage, irgendein Virus oder Schasoftware in meinem modifizierten img einzusetzen.

Andernfalls denke ich, wenn man auf der sicheren Seite bleiben möchte, lässt man die Finger von den ganzen Modifikationen weg. Alternative dazu: man erstellt sich ein eigenes modifiziertes img.

Diejenigen, die unerschrockenen, werden dennoch von mir auch aufgerufen, zu experimentieren. Gerade wenn man nicht unbedingt selbst in der Lage ist, sich ein eigenes modifiziertes img zu erstellen, können eben dieses von mir bekommen.

Bevor ich dieses selbst erstellt hatte, hätte ich auch gern einz zuvor gehabt. Da es eben aber keins zu den Zeitpunkt gab's, war ich gezwungen mich weiterzubilden und mir eins auf meine Bedürfnisse selbst zu bauen. Somit bin ich auf mich stolz und bin glücklich damit. Bin gerne bereit es zu teilen, Feedback zu geben und eventuell zu Verbesserung der Entwicklung beitragen zu können.

 

[f666]

Ein komplettes Firmwareimage unterliegt (höchst wahrscheinlich, aber noch nicht juristisch geklärt) dem Copyright vom AVM, da jede Menge proprietäre Bestandteile drin sind. Schon alleine deshalb, würde ich an deiner Stelle kein komplettes Image vertreiben.
Genau aus diesem Grund funktioniert ja Freetz so wie es funktioniert. Freetz ist ein Framework, welches die originale Firmware vom AVM Server runterlädt, manipuliert und ergänzt und danach wieder zusammenpackt. Für die private Verwendung.
Ein anderes Framework ist modfs von PeterPawn. Das funktioniert eben auf eine andere Art.

Mein Ziel ist es, dass Freetz direkt die 6490 unterstützt. Wenn es hier noch weitere Erfolgsmeldungen gibt, werde ich nochmals mit @er13 in Kontakt treten, dass er meinen Branch mergt.

 

[prisrak1]

Beim Bau ( der Siegerehrung xxx) des eigenes img. Bekomme ich folgende Meldung:

freetz@freetz-linux:~$ cd /home/freetz/YourFritz/signimage/
freetz@freetz-linux:~/YourFritz/signimage$ [/B] generate_signing_key
-bash: [/B]: Datei oder Verzeichnis nicht gefunden

 

[PeterPawn]

Ich weiß zwar nicht genau, wofür das Image als Sieger geehrt werden soll, aber das "[/B]" gehört offensichtlich zu den - in Xenforo nicht mehr funktionierenden - Formatierungen in meinen Code-Beispielen und nicht in diesen Aufruf. Wobei das die (Freetz-)Toolchain m.E. auch selbst anstoßen sollte (das "generate_signing_key"), wenn sie keinen vorhandenen Key findet.

 

[prisrak1]

Hab bereits in mein Image openssh, ssl usw eingebaut. openvpn Ist zwar bei dir
PeterPawn keine Voraussetzung zum signieren des eigenen Images gewesen, ist aber auch dabei und diese funktionierte bei mir auf der 7490 FRITZ!Box. Hab aber auch schon den eigenen generierten Privat.key ins Verzeichnis "0:/home/freetz/YourFritz/signimage/" hineinkopiert, geht trotzdem nicht. Anscheinend liegt es an dem richtigen Befehl. Damit z.B sollte es doch gehen? "KEYSIZE=4096 generate_signing_key"

 

[PeterPawn]

Hast Du Dir den Beitrag/Thread zum Signieren richtig durchgelesen - zumindest den Beitrag zur Handhabung der Skript-Dateien?

Dir ist schon klar, daß Du mit einem 4K-Bit-Schlüssel die AVM-Signaturprüfung nicht mehr nutzen kannst?

Irgendwie fehlt mir gerade die Idee, was Du genau signieren willst und warum.

In dem ausführlichen Thread steht dann aber auch, wie die Skript-Dateien auf die Suche nach den einzelnen Dateien für den Schlüssel gehen - solange man das "include"-File richtig benutzt, kann der Schlüssel liegen wo er will und bei Freetz wird er (iirc) sogar in "/home/freetz" gespeichert (wenn man die Skripte mit den Freetz-Patches benutzt, ansonsten muß man sein "include"-File eben selbst anpassen, wenn "$HOME" und der vorgegebene Name einem nicht zusagen.

 

[prisrak1]

Grundsätzlich will ich ein selbst gebautes img signieren können. Es spielt keine Rolle für was für eine FRITZ!Box es gebaut wurde. Ich versuche lediglich nach und nach jeden Skript von dir nachzuvollziehen. Das signieren an sich, ist für mich eigentlich nicht notwendig. Dennoch will ich diese zum laufen bringen. Wahrscheinlich habe ich noch was übersehen. Es interessiert mich einfach eben.

 

[PeterPawn]

Lies mal diesen Thread: Wie funktioniert eigentlich das Signieren der AVM-Firmware?

Die AVM-Firmware kann (im Moment bzw. zum Zeitpunkt, als ich das schrieb) nur mit 1Kbit-Keys umgehen, also mit "KEYSIZE=1024", was auch gleichzeitig der Standard ist. Wer also einen 4Kbit-Schlüssel generieren läßt, kann eine damit erzeugte Signatur auch auf der Box nur mit dem "check_signed_image"-Skript kontrollieren und die AVM-Funktionen (vom GUI-Update über "Fake-DECT-Images" auf einem USB-Speicher bis hin zu den Plugins bei der 7390) können mit dieser Signatur nicht umgehen.

Im Prinzip war das reine "Spielerei" (oder meinetwegen auch "Weitsicht", falls AVM selbst mal längere Keys verwenden sollte, wobei dafür erst mal die passenden öffentlichen Schlüssel in Firmware-Images auftauchen müßten), daß ich da andere Schlüssellängen (und andere Hash-Möglichkeiten auch noch) eingebaut habe ... brauchen kann man das eben nur, wenn man ohne AVM-Komponenten (dann aber sogar außerhalb einer FRITZ!Box, solange nur ein "openssl" vorhanden ist) die eigene Signatur testen will und diese Art des Signierens nicht nur auf Firmware-Images für FRITZ!Box-Geräte beschränkt.

Wobei das Thema "Signaturen ausprobieren" dann im anderen Thread vermutlich auch besser angesiedelt ist ... das hat mit Freetz und 6490 nur noch am Rande zu tun und verwirrt andere nur noch zusätzlich, wenn die den Zusammenhang zum Signieren in Freetz (zurecht) nicht mehr sehen.

 

[prisrak1]

Hier funktioniert auch noch etwas nicht so ganz richtig (dropbear startet nicht und oscam fehlen wohl schreibrechte ->:

rc.mod version freetz-devel-14583
crond is disabled.
AVM telnetd is disabled.
Starting Freetz webinterface ... done.
swap is enabled.
syslogd is disabled.
Starting inetd ... done.
dropbear SSH server is disabled.
Starting openvpn ... done.
opendd is disabled.
Starting OpenSSH SSH server ... done.
Starting privoxy ... done.
Starting Samba-smbd ... done.
Starting Tor Onion Router ... done.
vsftpd is disabled.
rm: can't remove '/data/tam': Read-only file system
tar: can't make dir addon: Read-only file system
tar: can't create directory 'addon': Read-only file system
tar: can't make dir addon/oscam: No such file or directory
tar: can't create directory 'addon/': Read-only file system
tar: can't open 'addon/': Is a directory
Fehler: Datei "/data/addon/oscam/oscam.conf" nicht gefunden.
Starting rc.custom ... done.
rc.mod finished.

 

[f666]

Bitte in Ruhe die Meldungen lesen:

dropbear SSH server is disabled
Starting OpenSSH SSH server ... done

Es scheinen in dem Image sowohl der dropbear als auch der OpenSSH ssh Server drin zu sein. Dropbear ist deaktiviert und OpenSSH aktiviert.

OSCAM ist meines Wissens nicht Teil von Freetz. Offensichtlich scheint der Entwickler Annahmen getroffen zu haben, welche für eine 6490 nicht zutreffend sind. Bitte da an anderer Stelle für die Fehlerbehebung sorgen.

Zum Thema Signierung: Freetz macht an der Stelle alles automatisch. Manuell Skripte aus yourfritz aufrufen ist eigentlich gar nicht nötig.

Allgemein: Bitte doch zuerst die Meldungen durchlesen und dann hier schreiben. Außerdem die .config Datei anhängen.

 

[prisrak1]

Es ist grundsätzlich nie so, dass ich irgendwas hochlade ohne etwas zu lesen. Die ganzen Konstellationen in der von mir gebauten modifizierten Img. funktionieren zu 100 % in der 7490. Ich hatte die Einstellungen (cofig) auch in die 6490 mit übernommen / neu erstellt gehabt. Anscheinend wurde nicht alles so wie zuvor mit übernommen. Somit ergaben sich die von mir oben erwähnten Probleme. Diese werde ich früher oder später sowieso lösen. Ich hatte lediglich auf eine schnelle Hilfe und somit eine Lösung von euch gehofft. Die beiden Sachen wie Dropbear und OpenSSH laufen schon gleichzeitig auf verschiedenen Ports. Hier gab es zum Beispiel eine Erklärung zu dropbear und SSH authorized_keys:
http://www.zebradem.com/wiki/index.php?title=SSH_und_Freetz,_Beispiele_für_abhörsicheren_Zugriff_über_Inet_auf_Fritzbox/LAN
Zwar benutze ich die oscam nicht, weiß aber auch, wie diese in die 7490 eingebaut wird und funktioniert. Die 7490 steht mir leider nicht mehr zu Verfügung und somit nicht zu einem direkten Abgleich. Somit ist es nur eine Frage der Zeit, wie ich manche Sachen in die 6490 hinein bekomme. Obs einer braucht, oder nicht? Bin eben dabei. Danke trotzdem für Ihre Antworten. ... Den jede Antwort, egal wie sie aussieht, enthält meistens irgendwelche Hinweise auf die zuvor gestellte Frage.

 

[sub77]

Mein Ziel ist es, dass Freetz direkt die 6490 unterstützt. Wenn es hier noch weitere Erfolgsmeldungen gibt, werde ich nochmals mit @er13 in Kontakt treten, dass er meinen Branch mergt.

Melde Erfolg