[Info] fritzbox boxusr in etc/passwd mit dropbear ssh shell [evtl] sicherheitsrisiko
- Ersteller meisterlei
- Erstellt am
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,202
- Punkte für Reaktionen
- 589
- Punkte
- 113
Ich denke: Die User aus der ar7.cfg gehen in die /etc/passwd, die aus der usb.cfg haben Zugriffsrechte?
Denn, die ID 13 fehlt in der usb.cfg, bei mir. Die ist aber in der passwd und in der ar7.cfg.
So ists halt in meiner 7360SL und 7270v2.
Denn, die ID 13 fehlt in der usb.cfg, bei mir. Die ist aber in der passwd und in der ar7.cfg.
So ists halt in meiner 7360SL und 7270v2.
wow .. ok, danke
also folgende lösung(Vorschlag), AVM s Verwendung von etc/passwd ist ... naja ...
wer dropbear auf einer Fritzbox ausführt sollte überlegen dies mit der option -0 (Null) tun,
wer z.B. den anweisungen von fritzmod.net gefolgt ist dürfte dann in der debug.cfg in der entsprechenden Zeile stehen haben (edit: steht mitlerweile so auch auf fritzmod)
$TEMP/dropbear -p 22 -r $TEMP/dropbear_rsa_host_key -d $TEMP/dropbear_dss_host_key -0 -S $TEMP/sftp-server
man sollte eventuell bedenken den Port 22 zu ändern (normal standard 22) (editier:klarer)
also folgende lösung(Vorschlag), AVM s Verwendung von etc/passwd ist ... naja ...
wer dropbear auf einer Fritzbox ausführt sollte überlegen dies mit der option -0 (Null) tun,
wer z.B. den anweisungen von fritzmod.net gefolgt ist dürfte dann in der debug.cfg in der entsprechenden Zeile stehen haben (edit: steht mitlerweile so auch auf fritzmod)
$TEMP/dropbear -p 22 -r $TEMP/dropbear_rsa_host_key -d $TEMP/dropbear_dss_host_key -0 -S $TEMP/sftp-server
man sollte eventuell bedenken den Port 22 zu ändern (normal standard 22) (editier:klarer)
Zuletzt bearbeitet:
Wieso ist es nicht empfohlen, den SSH Port zu ändern?
Damit wird man damit von den meisten SSH Scans nicht mehr erfasst. Bei einem normalen System mit starkem Passwort spart man sich damit massenhaft Log-Einträge, die das Log unübersichtlicher machen. Auf einer Fritz Box verhindert man damit zusätzlich, dass diese wegen Überlastung rebootet.
Der einzige Nachteil ist, dass man zum Verbinden den Port zusätzlich angeben muss.
Damit wird man damit von den meisten SSH Scans nicht mehr erfasst. Bei einem normalen System mit starkem Passwort spart man sich damit massenhaft Log-Einträge, die das Log unübersichtlicher machen. Auf einer Fritz Box verhindert man damit zusätzlich, dass diese wegen Überlastung rebootet.
Der einzige Nachteil ist, dass man zum Verbinden den Port zusätzlich angeben muss.
nene, ich mein schon ds gleiche - nur missverständlich formuliert - obwohl port 22 standard ist, ist er (aus eben deinen gründen bspw.) nicht empfohlen
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,202
- Punkte für Reaktionen
- 589
- Punkte
- 113
Wobei:
Lokal ist Port 22 ersteinmal unbedenklich (Ausnahme: CROSS SITE SCRIPTING).
Dagegen kann surfen/mailen nur über Gastzugang helfen.
Die Freigabe ins Internet sollte nicht auf Port 22 sondern Jenseits der ersten 1024 Ports liegen.
Sonst sind Scans und Verbindungsversuche im Logfile ganz natürlich.
Lokal ist Port 22 ersteinmal unbedenklich (Ausnahme: CROSS SITE SCRIPTING).
Dagegen kann surfen/mailen nur über Gastzugang helfen.
Die Freigabe ins Internet sollte nicht auf Port 22 sondern Jenseits der ersten 1024 Ports liegen.
Sonst sind Scans und Verbindungsversuche im Logfile ganz natürlich.
Neueste Beiträge
-
Streaming via Scart? Geht das?
- Letzte: tango501
-
[Problem] F!B 6591 Bootloop
- Letzte: porcupine
-
Telekom FTTH-"Ausbau" bei bestehender FTTH-Anbindung
- Letzte: _jan_
-
FRITZ!Box 7590 - INHAUS - Smart24P1 - 7.90 - Sammelthema
- Letzte: gerstemann
-
COMpact 5200 mit zwei Telekom-Anschlüssen (5G Hyrid)- Letzte: mipo
-
[Erledigt] Erklärung Entstehung/Aufbau SIP/SDP gesucht
- Letzte: essex_man
-
Arcor FW .99c auf T-ONE?- Letzte: stoney
