OpenSSH v0.0.1

  • Hier die lange versprochene OpenSSH Version für den SPH.

    Die Zip datei einfach entpacken, und das tar.gz auf den USB-Stick schieben.

    Anschließend auf dem SPH per telnet entpacken. (cd /opt/ ; tar -xvf /path/to/openssh.tar.gz).


    Auf dem Speedport (Beim erstellen der Keys keine Passphrase angeben)

    # /opt/openssh/bin/ssh-keygen -t rsa -f /opt/openssh/etc/ssh_host_rsa_key
    # /opt/openssh/bin/ssh-keygen -t dsa -f /opt/openssh/etc/ssh_host_dsa_key
    # /opt/openssh/bin/ssh-keygen -t ecdsa -f /opt/openssh/etc/ssh_host_ecdsa_key

    /opt/bootstrap_init.sh anpassen und folgende zeilen anhängen
    -------- START ------
    mkdir /dev/pts
    mount -t devpts devpts /dev/pts
    /opt/openssh/sbin/sshd
    -------- ENDE -------
    Anschließend sollte der SSH Daemon bei jedem boot mit starten.

    Authentifizierung wird in meinem fall per Key für den Root durchgeführt. Wenn ihr das auch haben wollt, müsst ihr euren Public key in der (neu anzulegenden) authorized_keys im pfad /opt/homes/root/.ssh/authorized_keys einfügen. Den pfad zu der authorized_keys könnt ihr in der /opt/openssh/etc/sshd_config anpassen. Das funktioniert für alle User mit denen ihr euch einloggen wollt.

    emKay77 hat noch einen Passwordlosen login per ssh mit der Userkennung root vorgeschlagen, das finde ich (persönlich) aber auch wenn es nur im eigenen netzwerk ist zu unsicher. Für diejenigen die das dennoch so nutzen wollen, werde ich eine Anleitung dafür nachschieben, sobald ich mit emKay77 nochmal geschrieben habt :)


    Edit:

    Nachtrag. In der /etc/profile muss noch der "hack" von emKay77 rein, damit die /etc/profile die der SPH wohl als Bootscript zweckentfremdet nur beim ersten login komplett durchgegangen wird. Dafür muss unter die 'export LUA' zeile folgendes eingefügt werden:

    Quellcode

    1. if [ -e /var/passwd ] ; then return ; fi


    Das prüft ob die /var/passwd datei angelegt wurde, welche erst nach dem durchlaufen der /etc/profile existiert.
    Dateien

    1.951 mal gelesen

Kommentare 9

  • Benutzer-Avatarbild

    kubax -

    oh. ok, dann hatte ich das falsch in erinnerung. Das mit der passwd hattest du aber auch angezweifelt, weil nicht klar ich ob der SPH dadurch nicht evtl. fehler hervorruft weil er erwartet einen root ohne passwort vorzufinden.

    • Benutzer-Avatarbild

      eMKay77 -

      naja - einen Versuch ist es ja trotzdem wert... dauert ja nur 2 Minuten, dann weiß man ob's funktioniert (wär' ja der 'übliche/mittelsichere' Weg) -- hab' das nur deshalb nie getestet, weil ich's nich' brauch & weil das 'Pipen' dann erschwert wird (nutze ich manchmal, um Scripts direkt auf meinem Rechner laufen lassen zu können beim Entwickeln, damit sie trotzdem SPH-CLI-Tools aufrufen können.... -- ok, mit keyfiles funktionierts Pipen auch ;) )

    • Benutzer-Avatarbild

      eMKay77 -

      Hab' das grad' mal gecheckt: habe per sed von der bootstrap_init.sh aus mein verschlüsseltes passwd in die /var/passwd gepatched... (zum Testen & um an das verschlüsselte passwd zu kommen, einfach per busybox-mips eins setzen) -- das funktioniert soweit. Der SPH verhält sich normal (eigentlich auch verständlich, alles was root-Rechte braucht, erbt die vom Init-Prozess). 'su' per Telnet fragt dann auch brav das passwd ab -- aber mein sshd lässt mich nicht rein ;) --> das dürfte aber an meiner sshd-config liegen und nicht am Passwort.

    • Benutzer-Avatarbild

      kubax -

      vermutlich ist der default von PermitRoot auf no. Der muss aber auf yes stehen (oder andersrum, da vertue ich mich immer ^^)

  • Benutzer-Avatarbild

    eMKay77 -

    ...ich hab' den Passwort-losen Zugang nicht vorgeschlagen - ich nutze ihn nur bei mir, weil's so am einfachsten war. (mein sshd ist allerdings auch IP-beschränkt) -- vorgeschlagen hatte ich den Zugang per Passwort... entweder dynamisch in /var/passwd oder 'hart' in /etc/passwd ;)