Labor-Reihe für 7360 / 7362SL eröffnet von AVM

Wobei ich das SIAB nur mal aus lauter Bequemlichkeit als Abkürzung verwendet habe, um den Namen nicht immer ausschreiben zu müssen, was besonders in "camel case" immer etwas nervig ist und auch in Gänsefüßchen als "Shell In A Box" (so hieß es hier jedenfalls mal: https://code.google.com/archive/p/shellinabox/) ist das etwas sperrig.

Auch ist meines Wissens das in Freetz verwendete ShellInABox (http://freetz.org/browser/trunk/make/shellinabox/shellinabox.mk#L3) schon etwas länger nicht mehr gepatcht (der letzte Commit ist vom 15.04.2012) und hat einige ungefixte Lücken (z.B. diese: http://www.cvedetails.com/cve/CVE-2015-8400/).

Es müßte sich mal jemand die Arbeit machen und das Paket in Freetz auf den/einen Fork in GitHub umstellen ... ich wurde von der Veröffentlichung einer neueren binären Version (nach der ersten aus Mitte Dez. 2015, die auch absichtlich auf dem Freetz-Stand aufbaut) basierend auf 2.19 bisher in erster Linie deshalb abgehalten, weil dann der automatische Wechsel von HTTP auf HTTPS leider auch nicht mehr klappt und weil die Änderungen zur Bereinigung von CVE-2015-8400 sich "in derselben Ecke" des Codes abspielen, wie der Patch für die Verwendung des FRITZ!OS-Zertifikats. Auch ist bei FRITZ!Boxen die Kompatibilität mit den Freetz-Paketen ja nicht ganz unwichtig, selbst wenn meine Patches für die Verwendung des Zertifikats wahrscheinlich nie so richtig in den Trunk Einzug halten werden.

Die meisten anderen Änderungen im GitHub-Fork sind m.W. nicht sicherheitkritisch - vielleicht noch die irgendwann Anfang August 2015 erfolgte Einführung von PFS für TLS-Verbindungen, die ist auch nicht ganz unwichtig.

Insofern sollte man das bereitgestellte ShellInABox-Binary auch nicht überbewerten ... das ist weder besonders aktuell noch besonders sicher. Es war halt nur ein "proof of concept", wie das funktionieren könnte und die Idee dahinter war es keineswegs, immer aktuelle Software mit den jeweils notwendigen Security-Fixes bereitzustellen. Daß ich mich damit übernehmen würde, weiß ich nur zu genau und das halse ich mir in dieser Form nicht auf.

Ich trau mich nich(t) ... :mrgreen:

Es ging mir am Ende weniger um die Abkürzung als um die (erneute) Feststellung, daß die Version von SIAB (ja, ich stehe dazu, solange es sich nur um den Bereich IT handelt, im Industriebau ist der Name in D vermutlich schon besetzt) nur als "Probeversion" gedacht war, weil ich nun mal irgendeine Version in das Image für die "modfs-Starter"-Idee packen mußte.

Da ja in letzter Zeit desöfteren mal die Frage nach Binaries für die VR9-Prozessoren aufkam, war es mir irgendwie ein Bedürfnis, das noch einmal ganz ganz ganz ganz deutlich zu schreiben, daß ich keinen Ehrgeiz habe, da irgendwelche tagesaktuellen Pakete (weder für Busybox noch für Dropbear, ShellInABox oder SoftEther) bereitzustellen.

Ich bin immer noch auf der Suche nach einer praktikablen Lösung, wie sich die Leute ihre eigenen Binaries mehr oder weniger automatisch erstellen könnten, auch ohne eigene VM mit Freetz-Linux. Im Moment präferiere ich da irgendwie die direkte Übersetzung auf der FRITZ!Box, was bei größeren Paketen aber problematisch ist, endlos dauert und die FRITZ!Box belastet (selbst eine 7490) oder als Alternative die Verwendung von Ubuntu 14.04 auf einer t2.micro-Instanz der AWS-EC2 ... die kostenlosen 750 h/Monat im ersten Jahr reichen ja sogar für den 24/7-Betrieb so einer Instanz und den bräuchte man ja gar nicht.

Shirocco88 schrieb:

gcc-Umgebung auf der Box ?
gibt es hier schon eine PoC-Umgebung, die ich mir zum Testen downloaden kann.

Zum Vergrößern anklicken....

Nicht meine Idee - ursprünglich schon hier mal beschrieben: http://freetz.org/wiki/help/howtos/development/create_cross-compiler_toolchain und in Freetz wohl auch hier: http://freetz.org/browser/trunk/toolchain/make/target-toolchain.mk umgesetzt.

Natürlich läuft das auf das Erstellen der Toolchain auf einem "richtigen System" hinaus, weil das Übersetzen der "buildroot"-Toolchain auf der FRITZ!Box sicherlich kein praktikabler Weg ist. Aber das Ergebnis so eines "toolchain builds" kann man ja noch problemlos zum Download zur Verfügung stellen, da funkt ja noch keine AVM-Lizenz (die ja erst echte Restriktionen in das Lizenz-Paket für ein FRITZ!OS einbringt) dazwischen. So, wie es bei Freetz als Abkürzung ja auch die (Crossbuild-)Toolchain für den Build-Host als Download gibt, könnte man das mit der Toolchain für das Target-Device ja auch machen.