[Berlin-wireless] Pubkey || die("nope")

Sven-Ola Tuecke sven-ola
So Mär 30 11:19:02 CEST 2014


Hey (&& weil ich gerade im Spam-Modus bin):

Kurzfassung: habe die Passwörter auf der Emma geändert. Werde die
niemand sonst verraten. SSH-Keys haben: Phillipp, fly(Bastian), Faustus
&& me. Um auf die AirOS-Web-UI zu kommen z.B. "ssh -L
8000:localhost:8000 root at 104.0.2.18", dann http://localhost:8000 ohne
Passwort.

Langfassung: Passwörter sind Mist. Einerseits sollte man nach der reinen
Lehre überall jeweils verschiedene setzen (Regel: kein Passwort zweimal.
Hab' ich jetzt Bock auf 17 neue PW nur für die Emma? Nö.). Außerdem kann
man schlecht temporäre Passwörter setzen (Mal eben Zugriff gewähren mit
neuem PW heisst: alle anderen mit Shared-PW kommen grad' ned drauf). Und
zudem verbreiten sich PW bei einer Anwendung wie der unseren. Innerhalb
von ein paar Monaten haben die erfahrungsgemäß eine gewisse
Szene-Durchdringungstiefe erreicht.

SSH-Keys sind da besser. Jede Person hat eigene Privkeys, die
verschiedenen Pubkeys dazu können alle in /etc/dropbear/authorized_keys
gesammelt werden. Außerdem: Autovergammel. Personen, die ihre
Rechnerumgebung nicht im Griff haben verschlunzen ihre Privkeys
automatisch nach einiger Zeit. Je mehr Schlunz desto schneller. Ein
Regelkreis den wir haben wollen ;-)

Bei OpenWrt+Luci relativ unproblematisch. Typischerweise braucht es die
Web-UI genau einmal: bei der ersten Einrichtung. Danach alles per
SSH-Kommandozeile. Leider ist das bei AirOS nicht so, da braucht es das
Passwort für die Web-UI für so allerlei. Außerdem bei AirOS: es gibt nur
10 Slots für SSH-Keys. Bissi wenig. Ich hab' daher das AirOS-Startscript
auf den 8 Emma-M5 so erweitert, dass die Web-UI über
http://localhost:8000 ohne Passwort erreichbar ist. Zusätzlich vermisse
ich die einfach Möglichkeit "Speed-Test per Wget". Die hab' ich auf Port
8080 eingebaut, nebst den passenden Shell-Scripts "tst.sh" bzw.
"test.sh". Neighbour Speedtest dann einfach mit "test.sh
104.0.2.18:8080". Wie geht das? Bissi Startscript-Hacking und die
Lighttpd-Konfig erweitert, guckst du z.B.
https://github.com/freifunk/berlin-configs/tree/master/emma-nno-m5/persistent/

Als P.S. für die Managed-Switches hab' ich jetzt nix auf Tasche. Die
haben sicher kein SSH und für die Switch-Web-UI braucht es dann wieder
ein Passwort fürchte ich. Aber auf der Emma gibts ja eh' nur
Dumm-Switches ohne UI.

// Sven-Ola

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 263 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20140330/55576977/attachment.pgp>



Mehr Informationen über die Mailingliste Berlin