[Problem] Auffälligkeiten/Fehler bei Freetz-Build für 7590

FischersFreetz

Neuer User
Mitglied seit
22 Feb 2019
Beiträge
52
Punkte für Reaktionen
1
Punkte
8
(* Ich will zwar nicht den Rahmen dieses Themas sprengen, aber es interessiert mich schon ein wenig, "wer" eigentlich eher "Verantwortlicher" für das Freetz-Projekt [https://github.com/Freetz/freetz] ist. "Wer" entwickelt es weiter? An "wen" oder "wo" könnte man sich "offiziell" bei Problemen melden?
Wenn dies zu "anstrengend" oder "unpassend" ist, BITTE einfach IGNORIEREN.
*)
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,881
Punkte für Reaktionen
961
Punkte
113
Eigentlich bist Du hier im Unterforum schon vor der richtigen Schmiede, wenn es eher um "Support" geht als um eine "Fehlermeldung" (aka "Issue" - da wäre dann GitHub u.U. zu bevorzugen, aber besser erst dann, wenn man sicher ist, daß der Fehler auch tatsächlich "im System" liegt) ... die "handelnden Personen" im Freetz-Projekt kannst Du Dir im GitHub-Repository ansehen: https://github.com/orgs/Freetz/people

Ansonsten gibt es eben noch das Freetz-NG als Fork, wo manches durchaus "neuer" ist als beim o.a. Projekt - trotzdem betreibe ich meinen eigenen Fork mit einigen Änderungen ggü. dem originalen Freetz-Projekt auf der Basis ebendieses "Originals" ... ich bin aber eben auch nur an der Toolchain und ein paar Paketen wirklich interessiert bzw. benutze da den Freetz-Fork als "billige Quelle" für die Bereitstellung der nach GPL geforderten Dateien. Andere Beteiligte am Freetz-Projekt konzentrieren sich dann auch eher auf bestimmte Modelle (wie @f666 nach meinem Dafürhalten/Wissen bei den Cable-Boxen).

Insgesamt kann man schon behaupten, daß das Freetz-Projekt (oder zumindest größere Teile davon, speziell bei den Modifikationen bestehender AVM-Funktionen und bei den Änderungen am eigenen GUI - wo Freetz-NG einiges nachgeholt hat, was in den letzten Jahren liegengeblieben war) einigermaßen "tot" ist ... die umfangreichsten Änderungen gab es in den letzten Monaten eigentlich immer nur beim "version bump" für existierende Pakete oder neue FRITZ!OS-Versionen oder beim Hinzufügen von ein paar wenigen Paketen bzw. bei der Unterstützung zusätzlicher Modelle von AVM.

Aber AVM macht es da eben den "Moddern" auch nicht gerade leicht(er) (und durchaus zurecht, wenn es um die Frage der "einfachen Änderungen" geht, die jeder Angreifer dann auch ausführen könnte) ... und auch die immense Verbreiterung der Produktpalette (verschiedene Plattformen, was zuvor auch in dieser Form nicht existierte) stellt(e) das Projekt vor größere Herausforderungen, ebenso natürlich viele Änderungen am "Unterbau", die heute dazu führen, daß viele der "remove patches" gar nicht mehr richtig funktionieren und auch viele andere Patches (bei der 07.19 sogar derjenige, mit dem sich Freetz erst einmal überhaupt in die Initialisierung des Systems einklinkt) inzwischen nicht mehr an der richtigen Stelle oder im richtigen Umfang greifen.

Willst Du also irgendwas "Offizielles" haben ... das Unterforum hier ist schon das "offzielle": https://freetz.github.io/wiki/index.html#HilfeundSupport - solange es um diesen "Fork" von Freetz geht (der so etwas wie der "Urvater" der anderen, inzwischen auch wieder der von "Freetz-NG", ist). Der Support für Freetz-NG mag teilweise sogar "rühriger" sein (das kann ich schlecht einschätzen), aber er findet eben in anderen Boards statt, die es mit der Einhaltung deutschen Rechts nicht ganz so genau nehmen und daher sind hier Verweise auf diese(s) Board(s) auch i.d.R. tabu.
 

f666

Mitglied
Mitglied seit
6 Apr 2016
Beiträge
291
Punkte für Reaktionen
34
Punkte
28
Ich versuche mich so gut es geht um die 6490 und 6590 zu kümmern.
Bei der konkret von @PeterPawn vorgeschlagenen Änderung zu der .config.compressed bin ich im Zwiespalt, ob ich den Request nehmen soll oder nicht. Ich selbst verwende da nur ein Wegwerfpasswort. Eventuell reagiert ja @er13.
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,881
Punkte für Reaktionen
961
Punkte
113
@f666:
Das ist halt nur ein erster schneller Versuch, um das erst einmal zu "entschärfen" - es ist auch nicht das erste Mal, daß ich eine ".config" mit dem Kennwort sehe und in "fwmod" wird es ja - richtigerweise - auch explizit aus der Kopie der ".config", die ins Image kopiert wird, entfernt: https://github.com/Freetz/freetz/blob/master/fwmod#L1292

Und daß mit dem kleinen Patch das Kennwort noch nicht aus der eigentlichen ".config" entfernt wird, wenn die jemand (was die "Support-Richtlinien" ja eigentlich fordern) zu einer Fehlermeldung dazupackt, ist logischerweise weiterhin ein "offenes Problem" - das steht aber auch im "Begleittext" des PR.

Zumindest kann man mit diesem Patch dann wieder guten Gewissens zum "Vorzeigen" der ".config" auffordern, wenn man nicht vergißt zu erwähnen, daß man eigentlich die ".config.compress" meint (die ohnehin sinnvoller ist, weil man da die Auswahl direkt sehen kann und nicht erst lange blättern muß).

=====================================================================================

Ich bin ohnehin immer wieder mal am Werkeln an einer verbesserten "sign_image"-Implementierung (schon wieder recht lange, weil eben nie etwas "fertig" ist und es immer andere/neue Baustellen gibt - die Branches dafür in YourFritz existieren jetzt auch schon seit fast zwei Jahren), welche dann auch ein kleines Skript zur Passwort-Eingabe enthalten wird, das auf "pinentry" setzt (wenn es gefunden wird - man muß das Rad ja nicht immer wieder neu erfinden) für die Eingabe, solange es im Cache oder im Environment nichts finden kann.

Wobei mir etwas unklar ist, wie Du das mit einem "Wegwerf-Passwort" machen willst ... es geht hier ja um das Kennwort für den privaten Schlüssel und der selbst ist "per Definition" ja auch nicht zum Wegwerfen (damit irgendwie das Passwort für ihn ja auch nicht).

Das Signieren macht ja nur dann Sinn, wenn man den öffentlichen Schlüssel in das Image integriert (so, wie es Freetz auch macht) und dann das nächste Image wieder mit demselben Key signiert und der braucht dann natürlich auch wieder dasselbe Kennwort für den privaten Schlüssel (wenn man dessen Kennwort nicht zwischendrin von Hand geändert hat).

Vielleicht haben wir auch von einem "Wegwerfpasswort" nur sehr unterschiedliche Vorstellungen (speziell hinsichtlich seiner "Lebenszeit") ... aber wenn es publik wird wie hier, kann man es - natürlich nur zusammen mit dem Key-File, welches ansonsten aber keines weiteren Schutzes bedarf bei seiner Speicherung, wenn man von funktionierender AES-128-Verschlüsselung des Inhalts ausgeht - für das Signieren von Images "mißbrauchen", die von jedem Image, welches den passenden öffentlichen Schlüssel enthält, auch ohne zu murren akzeptiert werden (bis hin zur Ausführung von solchen Images vom USB-Stick, sofern die Image-Datei den passenden Namen für vorhandenes DECT-Zubehör hat).

Das Signieren an sich macht aber eben nur dann Sinn, wenn man dafür EINMALIG ein eigenes Schlüsselpaar generiert und das dann immer wieder (oder zumindest bis zu einem gezielten und absichtlichen Wechsel) verwendet - das paßt für mich mit der Vorstellung von einem "Wegwerf-Passwort" irgendwie nicht zusammen.
 

FischersFreetz

Neuer User
Mitglied seit
22 Feb 2019
Beiträge
52
Punkte für Reaktionen
1
Punkte
8
Ich mische mal 'ne konkrete Frage dazu ein: Wie ändere ich dieses Signatur-Kennwort?
Welche Dateien/Ordner müsste ich im Homeverzeichnis konkret löschen (damit eine neue Signatur mit neuem Kennwort angelegt wird)?
  • .freetz.image_signing.asc
  • .freetz.image_signing.key
  • .freetz.image_signing.pem
  • .freetz.image_signing.rnd
  • .freetz-signature
Oder einfach alle löschen? Oder gibt es einen direkten Weg zum Erneuern des Kennworts?
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,881
Punkte für Reaktionen
961
Punkte
113
Ex.:
Code:
vidar:~ $ openssl rsa -in YourFritz.key -out YourFritz.key.with.new.password -aes128
Enter pass phrase for YourFritz.key:
writing RSA key
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
vidar:~ $
Umbenennen danach nicht vergessen, die Kennwort-Eingaben sind (verständlicherweise) "unsichtbar".

Gelöscht muß da gar nichts werden. Was sich hinter ".freetz-signature" verbirgt, weiß ich nicht - gibt's bei mir auch schlicht nicht.

Die anderen Dateien gehören zum "Signatur-Thema". Was da jeweils drin steht, habe ich in dem Thread zum Signieren beschrieben - die Suche sollte da helfen können.
 

f666

Mitglied
Mitglied seit
6 Apr 2016
Beiträge
291
Punkte für Reaktionen
34
Punkte
28
@f666:
Das ist halt nur ein erster schneller Versuch, um das erst einmal zu "entschärfen" - es ist auch nicht das erste Mal, daß ich eine ".config" mit dem Kennwort sehe und in "fwmod" wird es ja - richtigerweise - auch explizit aus der Kopie der ".config", die ins Image kopiert wird, entfernt: https://github.com/Freetz/freetz/blob/master/fwmod#L1292
OK, das war mir nicht klar. Damit sieht es anders aus. Der Patch ist dann konsequent.

@f666:
Wobei mir etwas unklar ist, wie Du das mit einem "Wegwerf-Passwort" machen willst ... es geht hier ja um das Kennwort für den privaten Schlüssel und der selbst ist "per Definition" ja auch nicht zum Wegwerfen (damit irgendwie das Passwort für ihn ja auch nicht).
Ich meine damit kein besonders starkes bzw. individuelles Passwort. Selbst wenn jemand das Passwort kennt, bräuchte er immer noch den Schlüssel von meiner Festplatte, um Schabernack zu treiben. Das Risikio gehe ich an dieser Stelle ein.
 

FischersFreetz

Neuer User
Mitglied seit
22 Feb 2019
Beiträge
52
Punkte für Reaktionen
1
Punkte
8
noch mal zu: [x] Awk [*] Enable math functions (requires libm)
Als Workaround würde ich (nur als Idee) mal versuchen, die BusyBox ohne das "trylink" zu linken - iirc gibt es da irgendwo auch eine Option, ob diese Tests mit dem Ziel, das Binary mit so wenig "footprint" wie möglich auszustatten, ausgeführt werden sollen oder nicht.
Ich würde es auch mal versuchen, aber ich weiß gar nicht, wie ich den Versuch starten könnte?
  • (* Was ist iirc ? *)
  • (* Oder alle Inhalte vom trylink-script auskomentieren? *)
  • (* :rolleyes:??? *)
 
Zuletzt bearbeitet:

KunterBunter

IPPF-Urgestein
Mitglied seit
12 Okt 2005
Beiträge
24,040
Punkte für Reaktionen
256
Punkte
83

eisbaerin

IPPF-Promi
Mitglied seit
29 Sep 2009
Beiträge
7,550
Punkte für Reaktionen
307
Punkte
83
Dann müßte es aber: Wimre heißen ;)
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,881
Punkte für Reaktionen
961
Punkte
113
Das Linken der BusyBox mit der "libm" sollte auch wieder funktionieren, wenn Du die Option "FREETZ_BUSYBOX_PIE" aktivierst - zu finden unter "Busybox applets -> Busybox Settings -> Build BusyBox as a position independent executable".

Die "libm" ist halt auch als "position independent code" erstellt:
Rich (BBCode):
[email protected]:/media/pi/extern_10_320/pi4/builds/7590 $ file toolchain/build/mips_gcc-5.5.0_uClibc-1.0.14-nptl_kernel-3.10/mips-linux-uclibc/lib/libm-1.0.14.so
toolchain/build/mips_gcc-5.5.0_uClibc-1.0.14-nptl_kernel-3.10/mips-linux-uclibc/lib/libm-1.0.14.so: ELF 32-bit MSB pie executable, MIPS, MIPS32 rel2 version 1 (SYSV), dynamically linked, interpreter /lib/ld-uClibc.so.1, with debug_info, not stripped
[email protected]:/media/pi/extern_10_320/pi4/builds/7590 $
(das erfordert etwas andere Initialisierungen von Funktionsaufrufen) und daher muß das von der BusyBox beim Aufruf von Funktionen aus der "libm" verwendete Interface (ABI) auch zur Library passen.
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,881
Punkte für Reaktionen
961
Punkte
113

Nuems

Neuer User
Mitglied seit
28 Jul 2012
Beiträge
55
Punkte für Reaktionen
6
Punkte
8
Allerdings ist es recht offensichtlich, dass "Hab vielen Dank für die Antwort" gemeint ist.
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,881
Punkte für Reaktionen
961
Punkte
113
Meinst Du? Dann war mein erster Gedanke ja vielleicht doch richtig ... und der zweite: "Hast vollen Durchblick für dein Alter." wäre als Interpretation ebenso unzulässig, wie weitere Ideen, was da gemeint sein könnte (bis hin zum "f-word" beim vierten Buchstaben)?

Ich wollte damit auch nur darauf hinweisen, daß ich nicht einfach "blind" irgendwelche Abkürzungen selbst erfinde aus lauter Schreibfaulheit (Iwdandh,dinebiAsealS) und man eigentlich immer mit einer geeigneten Suchmaschinen-Abfrage auch ermitteln kann, was bei mir so an "Abkürzungen" in den Texten auftaucht.
 

Nuems

Neuer User
Mitglied seit
28 Jul 2012
Beiträge
55
Punkte für Reaktionen
6
Punkte
8
Ich glaube zwar nicht bedingungslos ans Gute im Menschen, aber ich wähle gerne die Interpretation, bei der man sich nicht ärgern muss - also : ja ;)
 

KunterBunter

IPPF-Urgestein
Mitglied seit
12 Okt 2005
Beiträge
24,040
Punkte für Reaktionen
256
Punkte
83

FischersFreetz

Neuer User
Mitglied seit
22 Feb 2019
Beiträge
52
Punkte für Reaktionen
1
Punkte
8
Hallo... kommen wir von den Wörtern auf der Goldwaage und den Wortspielen dabei zum Wesentlichen:

PeterPawn, du hast dich der diskutierten Sachverhalte angenommen, dir dazu Gedanken gemacht und sie mit vielen Worten hier ausformuliert. Dabei entwickeltest du Lösungen für die aufgeworfenen Probleme, so dass ich meine Vorhaben umsetzen konnte, vielen Dank dafür.

Daneben wünsche ich mir noch, dass deine Lösungsansätze auch in das Freetz-Projekt einfließen werden. Einige erste Gedanken wurden dazu ja schon ausgetauscht.

bis zum nächsten Problem...
FischersFreetz