Asus RT‑N18U — „dodajemy SSH" — instalacja dodatkowych pakietów
Jak wspominałem w poprzednim wpisie - Asus RT‑N18U ma możliwość zalogowania się do konsoli urządzenia z wykorzystaniem telnetu. Producent w tym przypadku zdecydował się na wykorzystanie mniej bezpiecznego połączenia, a SSH zarezerwował dla droższych rozwiązań. Postanowiłem jednak sprawdzić czy uda mi się je włączyć.
Podłączamy dysk zewnętrzny
Pierwsze co potrzebujemy to dysk zewnętrzny. Będziemy na nim instalować dodatkowe pakiety. Dysk USB zostanie automatycznie zamontowany w ścieżce /tmp/mnt/sda1. Następnie należy zainstalować DownloadMaster (jest to jedna z "Aplikacji USB", dostępna w webowym interfejsie użytkownika). Dzięki temu, na naszym urządzeniu zainstalowane zostaną niezbędne biblioteki i aplikacje, a na dysku USB pojawi się nowy katalog "asusware.arm". Katalog ten jest podlinkowany z /opt i znajdują się tam katalogi i pliki systemowe (dla dodatkowych aplikacji). Po instalacji DownloadMaster w systemie pojawia się także możliwość instalacji dodatkowych paczek z użyciem managera ipkg
# ipkg install ssh Nothing to be done An error ocurred, return value: 4. Collected errors: Cannot find package ssh. Check the spelling or perhaps run 'ipkg update'
Niestety na liście paczek nie ma ssh.
Kolejnym krokiem jest instalacja opkg. A właściwie podmiana ipkg na opkg, gdyż nie możemy korzystać z obu managerów pakietów jednocześnie. Pierwsze co musimy zrobić to dowiedzieć się jaka jest architektura procesora, który pracuje w urządzeniu
#cat /proc/cpuinfo Processor : ARMv7 Processor rev 0 (v7l) BogoMIPS : 1599.07 Features : swp half thumb fastmult edsp CPU implementer : 0x41 CPU architecture: 7 CPU variant : 0x3 CPU part : 0xc09 CPU revision : 0 Hardware : Northstar Prototype Revision : 0000 Serial : 0000000000000000
cpuinfo mówi, że to armv7, spróbujmy więc pobrać instalator i zainstalować managera entware:
wget http://pkg.entware.net/binaries/armv7/installer/entware_install.sh | sh
Jesli wszystko zakończy się poprawnie, to na naszej konsoli powinniśmy zobaczyć:
Configuring opkg. Configuring libstdcpp. Configuring findutils. Configuring entware-opt. Updating /opt/etc/ld.so.cache... done. Info: Congratulations! Info: If there are no errors above then Entware-ng was successfully initialized. Info: Add /opt/bin & /opt/sbin to your PATH variable Info: Add '/opt/etc/init.d/rc.unslung start' to startup script for Entware-ng services to start Info: Found a Bug? Please report at https://github.com/Entware-ng/Entware-ng/issues
Teraz logując się przez telnet do urządzenia możemy korzystać z managera pakietów opkg z dużo większą ilością pakietów.
#opkg update #opkg install nazwa_paczki
Instalujemy serwer SSH
Sama instalacja jest prosta i sprowadza się do wywołania komendy
#opkg install openssh-server
Po instalacji uruchamiamy serwer i otrzymujemy komunikat o niepowodzeniu:
# /opt/etc/init.d/S40sshd start starting sshd... Privilege separation user sshd does not exist
Komunikat ten wyskakuje ponieważ po instalacji musimy: - skonfigurować serwer - dodać nowego użytkownika (niestety użytkownicy dodani przez interfejs webowy nie mogą zalogować się po ssh) Konfiguracja polega na edycji pliku opt/etc/ssh/sshd_config (możemy wykorzystać vi, który jest domyślnym edytorem w systemie). Jeśli chodzi o konfiguracje serwera to najlepiej wykorzystać jeden z poradników dostępnych w sieci, gdyż nie ma jednego uniwersalnego i najlepszego ustawienia.
Dodanie nowego użytkownika polega z kolei na dodaniu nowego użytkownika w pliku /etc/passwd. Następnie należy ustanowić hasło dla nowego użytkownika. Hasła zapisywane są w tym samym pliku, na drugiej pozycji po nazwie użytkownika jako hashe. Aby je wygenerować możemy użyć skryptu chpasswd.sh:
# chpasswd.sh nazwa_usera haslo
Po restarcie okaże się jednak, że naszego "nowego" użytkownika nie ma - plik /etc/passwd został wygenerowany raz jeszcze (przywrócony z pamięci flash) i nie możemy połączyć się z routerem. Dość długo analizowałem ten problem, jak obejść ten problem i niestety jedyne co przyszło mi do głowy to stworzenie skryptu, który za każdym razem doda użytkownika do pliku /etc/passwd
#!/bin/sh echo "McD:hash_hasla:500:500::/:/bin/sh" >> /etc/passwd
Ostatnia linijka to oczywiście linijka skopiowana z pliku /etc/passwd, po wykonaniu skryptu chpasswd.sh. Tak przygotowany skrypt należy zapisać (w /jffs) i wykonywać przy starcie systemu, przed uruchomieniem demona ssh, dlatego niezbędne jest dodanie nowego pliku w /opt/etc/init.d. Plik ten musi mieć nazwę niższą niż S40sshd ponieważ musi być wykonany przed inicjalizacją demona ssh, a skrypt który uruchamia usługi sortuje je właśnie po nazwie.
#!/bin/sh sleep 5s /jffs/add_user.sh
Mój plik nazwałem S30init. Trzecia linia skryptu jest niezbędna ze względu na czas startu systemu - plik /etc/passwd nie jest odtwarzany jako pierwszy i bez opóźnienia zdarzało się, że skrypt wykonywał się dodając nowego użytkownika, jednak po chwili plik został zastępowanym "oryginalnym". Aby mieć pewność, że nowy użytkownik zostanie dodany na końcu pliku po jego odtworzeniu opóźniamy wykonanie skryptu dodającego użytkownika.
Po skonfigurowaniu i dodaniu użytkownika próbujemy i okazuje się, że musimy stworzyć jeszcze klucze
# ./S40sshd start starting sshd... Could not load host key: /opt/etc/ssh/ssh_host_rsa_key Could not load host key: /opt/etc/ssh/ssh_host_dsa_key Could not load host key: /opt/etc/ssh/ssh_host_ecdsa_key Could not load host key: /opt/etc/ssh/ssh_host_ed25519_key sshd: no hostkeys available -- exiting.
Wygenerować je należy kolejno poleceniami, za każdym razem wskazując gdzie powinny zostać zapisane. W tym miejscu pojawia się kolejny problem. Kluczy nie powinniśmy zapisać na dysku USB - pomijając względy bezpieczeństwa musimy pamiętać, że przy każdym bootowaniu urządzenia wszystkie pliki zawarte na dysku dostają poziom bezpieczeństwa 0777. Kluczy o takim poziomie ("publicznym") OpenSSH po prostu nie przyjmie zasypując nas komunikatami ("Permissions 0777 for 'id_rsa.pub' are too open."). Jeśli bardzo chcemy oczywiście możemy trzymać tam klucze, ale niezbędny jest skrypt, który przed uruchomienie sshd zmieni poziom zabezpieczeń na niższy. Niestety zapisanie kluczy w katalogu /home lub /etc również odpada - każdy nowy plik, który się tam pojawi po restarcie znika. Na szczęście w systemie mamy również partycję jffs - oprócz logów idealnie nadaje się na skrypty oraz klucze, to właśnie tam proponuję umieścić wszystkie klucze, które wygenerować możemy poleceniami.
ssh-keygen -t rsa ssh-keygen -t dsa ssh-keygen -t ecdsa ssh-keygen -t ed25519
Pamiętajmy, że w pliku sshd_config muszą być podane odpowiednie ścieżki do kluczy
HostKey /jffs/.ssh/id_rsa_key HostKey /jffs/.ssh/id_key HostKey /jffs/.ssh/id_ecdsa_key HostKey /jffs/.ssh/id_key
Następnie uruchamiamy usługę SSHD poleceniem
/opt/etc/init.d/S40sshd start
i cieszymy się możliwością połączenia za pomocą protkołu SSH do naszego routera, który domyślnie jest dostępny tylko w droższych urządzenia Asusa.