Galaxy Innovations Gi 9995/Vu+ Ultimo, Gi S9895/Vu+ Duo, Gi S8180/Vu+ Solo, Gi S8895/Vu+ Uno HD Linux E2 > FAQ

Безопасность и защита вашего VU+ Enigma 2 ресивера

<< < (2/7) > >>

emerald74:
Смотрю на работе поток с ЕТ-9000, даю ссылку товарищу, он на соседнем компе открывает эту прямую ссылку и у него запрашивает пароль.
Возможно сейчас что то намучено в вебинтерфейсе, буквально пару недель назад было как я и написал.
Закрой гостя через самбу и перепроверь.

Макс:
Самое печальное что вне зависимо от настроек OpenWebif
На стриминг с порта 8001 невозможно поставить авторизацию
а на стриминге с порта 8002 невозможно снять авторизацию.

Даже если вы снесете OpenWebif, то стрим все равно будет доступен любому!!!

Сегодня еще выяснил что авторы ядра OpenPLi натворили чудес с транскодингом, убрали возможность смены настроек с пульта ресивера и сделали "удобно" настройкой конфига через ftp (долбленые дебилы)

Добавлено: 14 Апрель 2014, 14:49:47Что выяснилось:
На имиджах OpenPli вообще нет защиты на стрим.
По сути можно написать простого нетбота, который будет перебирать стандартный порт 8001 на наличие там стрима.


--- Код: ---nmap 46.xx.246.xx
Starting Nmap 6.40 ( http://nmap.org ) at 2014-04-14 12:26 EEST
Nmap scan report for 110-246-172-46.ip.ru (46.xx.246.xx)
Host is up (0.016s latency).
Not shown: 994 closed ports
PORT     STATE    SERVICE
135/tcp  filtered msrpc
139/tcp  filtered netbios-ssn
8001/tcp open     vcom-tunnel
8008/tcp open     http
8888/tcp open     sun-answerbook
9898/tcp open     monkeycom
--- Конец кода ---

получаем открытый порт
vcom-tunnel

или так еще проще


--- Код: ---nmap 46.xx.246.xx -p 8001
Starting Nmap 5.51 ( http://nmap.org ) at 2014-04-14 14:42 EEST
Nmap scan report for 110-246-172-46.ip.ru (46.xx.246.xx)
Host is up (0.018s latency).
PORT     STATE SERVICE
8001/tcp open  vcom-tunnel

Nmap done: 1 IP address (1 host up) scanned in 0.22 seconds
--- Конец кода ---
Результат в пол секунды.
После чего просто подставляем рефер канала 1:0:19:4E89:14:70:1680000:0:0:0: и смотрите, точнее вас смотрят.

На BH имидже ситуация несколько краше.
Но нужно закинуть туда файл /usr/lib/enigma2/python/Plugins/Extensions/OpenWebif/plugin.py с имиджа OpenPli, чтобы появился пункт Enable Authentication for streaming
После чего при открытии потока нужно будет вводить логин и пароль.
Но такая конфигурация убивает стрим транскодинга.

Необходимо решение от пианистов, по решению данного вопроса.
Как-то так...  ;)

ooolexa:
Продолжаем тему о защите доступа : Настройка и запуск ssh (dropbear)

Если я правильно помню, то пакет dropbear по умолчанию установлен уже в image и его процесс должен быть в списке действующих


--- Код: ---ps
--- Конец кода ---

мне пришлось инсталлировать

opkg update

opkg install dropbear

Остановка, запуск или перезапуск мы сделаем в сессии telnet командой:

/etc/init.d/dropbear start|stop|restart

Вообще-то ssh можно использовать сразу после установки, войдите, используя логин и пароль для тв-тюнера и, собственно, можно было бы на этом закончить, но цель этого описания показать, как настроить ssh с закрытым ключом и отключение входа под паролем.
Почему?
Поскольку вход в систему пароль не безопасно. Методом brute-force  можно пароль взломать если порт 22 остается слишком долго открыт снаружи и не контролируем журнал.

В связи с этим, в первую очередь, необходимо сгенерировать себе новый ключ rsa, потому что содержащийся в image есть у каждого, и лучше иметь свой, уникальный.
Останавливаемся dropbear и мы генерируем ключ:


--- Код: ---dropbearkey -t rsa -f /home/root/dropbear_rsa_host_key
--- Конец кода ---

Пример:

root@et9x00:~# dropbearkey -t rsa -f /home/root/dropbear_rsa_host_key
Generating key, this may take a while...
Public key portion is:
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC8rmFrh4ZA5jcxtv7pPZksZ6Uuf/TiKKZnzIWTMxxH+CIb9AKMLMNCN8zcS6otlglcykfYkD3mz2Iz6rJUg2f2mkDB1Ap0ExGpPZalsAZGjGiyRLHXEm/tRaJQTyn15GR4UxdREQJca9n1SHXjISvCEIDDX6lS4OYZjIGhTM0h1bwMWzLpaEl1oDyЕTOH4/E/p2Vworxq2DKauAQLKDQwg0v9oMELo0A7B01+BOvX1iglFRcbuH10K82vg4BTvrexDtPuZVGYtz5wP/V06+/K/kaGFAEPXhBbkOnZvd5AxC9lEJW5pBMv2J204zN6f/ZZcFbukGtSKVyI9VE5Nesw3 root@et9x00
Fingerprint: md5 e4:96:63:eb:ad:0e:4e:70:8a:8b:38:3c:c7:89:af:f8

или


--- Код: ---dropbearkey -t rsa 2048-f /home/root/dropbear_rsa_host_key
--- Конец кода ---

если кто-то желает ключа 2048 бит.

Сгенерированный ключ rsa переносим в /etc/dropbear/ поверх существующего. Стоит сохранить себе копию ключа , чтобы проверить на себе или при подключении в первый раз, к вашему серверу по ssh. Копия останется в нашей памяти в клиенте ssh (Putty) и в случае его несанкционированной 'замещения' Putty выдаст нам такой факт и спросит , есть ли это на самом деле наш сервер.





Следующим шагом является отключение входа паролем. Для этого вам необходимо создать файл с именем 'dropbear' ниже содержимым:

DROPBEAR_EXTRA_ARGS="-s-a"

где опция-s выключает использование пароля. Вариант-а, кроме того, для целей туннелирования соединения, но не об этом здесь буду писать, так что не должна она быть и у Вас. Давайте сосредоточимся только на опцию-s.

Так готовый файл (в приложении), мы помещаем в /etc/default/. Достаточно права 600, поэтому мы не должны ничего менять.

Затем нужно подготовить публичный ключ и приватный файл authorized_keys. Мы будем использовать программу Putty Key Generator ( прикрепил в аттаче ):

1. Мы генерируем ключ - сила ключа 1024 или 2048 для выбора, а не она зависит от силы ключа rsa, который ранее определение.





2. Записываем оба ключи где-то на жесткий диск компьютера (при записи необходимо решить, что ключ будет закодирован или нет - выбираем " нет").
3. Копируем ключ в буфер обмена.



4. Создаем файл с именем 'authorized_keys' и помещаем туда заранее скопированный ключ:



ВАЖНО: ключ должен быть на одной строке .  В ключе есть только 2 пробела: при первом слове rsa и перед вторым. Если всё сделали правильно то не должно быть проблем. Ключ может иметь различную продолжительность в зависимости от выбранной силы его при сборке.

5. Созданный файл authorized_keys' помещаем в /home/root/.shh/ то есть, в папке которого по умолчанию нет, нужно её создать. Как видите, папка должна иметь точку спереди в названии . Для удобства можно сначала создать без точки, добавить к нему файл authorized_keys и потом изменить на имя с точкой.



Генерация ключей у нас есть, поэтому мы открываем Putty (в приложении) и настроим сеанс ssh , но для того, чтобы использовать наш ключ, мы должны его указать в программе:





Настроенный и сохраненного сеанс Putty мы можем использовать для подключения.
Стартуете dropbear и создаете подключение.



Внешний вид процесса dropbear после изменения:

0:00 /usr/sbin/dropbear-r /etc/dropbear/dropbear_rsa_host_key-p 22-s-a

Помните, что с этого момента не залогиниться через ssh, без наличия закрытого ключа, поэтому, если вы планируете подключаться удаленно, необходимо взять с собой ключ , и, конечно, защищать перед другими!

Microniks:
Подскажите почему новый пароль не создается?
Присутствуют две копии зачем то.
passwd-
passwd
По умолчанию было root:x:0:0::/:/bin/sh
Командой passwd в телнет ввожу новый пароль 3 раза, 6 значный  сначала пишет простой... Не смотря на то, что минимум 5 требуется, остальное не имеет значение. Телнет пишет пароль создан.В результате root::0:0::/:/bin/sh в обоих файлах ничего не появляется,  а в DCC можно войти как по умолчанию, так и по новому пароль непонятно где прописанному..

ooolexa:
Microniks, после перезагрузки так же? Вообще должно доступ закрывать сразу после смены.

Навигация

[0] Главная страница сообщений

[#] Следующая страница

[*] Предыдущая страница

Перейти к полной версии