[Frage] Benutzer schützen

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
S

Sc0rc3d

Neuer User
Mitglied seit
3 Sep 2013
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Hi,

ich Suche nach einer Möglichkeit einen FRITZ!Box-Benutzer so zu schützen, dass dieser weder gelöscht noch verändert werden kann (oder kann man einen Benutzer erstellen, der auf der Benutzeroberfläche der FRITZ!Box bei den Benutzern nicht angezeigt wird, man sich damit aber einloggen kann?)?

Hintergrund ist hierbei, dass ich im Freundes und Familien und Bekanntenkreis recht viele FRITZ!Boxen "Administriere" (eher kleinere Einstellungen vornehmen soll), es aber immer wieder vorkommt, dass mein dedizierter Benutzer gelöscht oder das Kennwort verändert wird. Somit kann ich dann auch nicht mehr helfen, wenn sich jemand bspw. "ausgesperrt" hat. Eine Neukonfiguration der Box ist dann meist schmerzhaft, da wenig technisches Verständnis oder fehlende Zugangsdaten (+ X Kilometer Fahrtzeit) meist an der Tagesordnung sind. Vielleicht hättet Ihr dazu ein paar Ideen, wie ich dies Umsetzten könnte. :)

Gruß
Sc0rc3d
 
Entweder eine Firmware so modifizieren, daß die Existenz dieses Kontos bei jedem Start abgefragt wird und bei dessen Fehlen der Account wieder eingerichtet wird oder einfach den Leuten beibringen, wie man im Katastrophenfall ein passendes Image auf der Box startet.

Denn genauso, wie man die Anmeldung umstellen kann (siehe https://www.ip-phone-forum.de/threa...l-recovery-a-la-avm-oder-besser-nicht.294386/), kann man einen neuen Benutzer in der Box einrichten (Stichwort "add_user_to_fritzos" und das macht eigentlich schon genau das, was hier die Aufgabenstellung wäre), wenn man sie "etwas anders" startet (ist wie der USB-Stick am PC).

In dem Beitrag habe ich auch etwas zu "versteckten" Konten geschrieben ... ist aber schon wieder etwas her und inzwischen wirft AVM beim Editieren irgendeines Kontos (wenn ich mich nicht "vertestet" habe) jedes andere, was sich des "@" im Namen bedient, wieder raus aus der Konfiguration - damit fällt der "dauerhaft versteckte" Benutzer dann inzwischen (glücklicherweise!) wohl aus.

Auch wenn man das Löschen tatsächlich verhindern will, kommt man um die Änderung der Firmware wohl nicht herum ... wobei man dann auch gleich dafür sorgen kann, daß der fragliche Account in der Box gar nicht erst angezeigt wird - dann kann er auch nicht gelöscht werden (außer durch Werkseinstellungen). Bordmittel gibt es (m.W.) dafür nicht ... selbst per TR-069 angelegte Accounts für die Fernwartung sind in der Liste zu sehen (hatte ich gerade erst bei einer 5490 (mit 06.84) von iWay.ch, daß da per TR-069 so ein Benutzer neu eingerichtet wurde).

Je nach Modell der Box (am einfachsten ist es bei den VR9-Boxen mit Wrapper - bei den GRX-Modellen muß man deutlich mehr Aufwand betreiben) kann man auch einfach über den Wrapper ein Skript injizieren (wie das geht, zeigt "build_shellinabox_implant_image"), welches die eingangs angesprochene Kontrolle des vorhandenen Accounts übernimmt (das kann man mit dem Lua-Interface machen oder direkt mit Shell-Code und "ctlmgr_ctl") oder auch eines, was dieses Konto in der Liste ausblendet ... und wenn man gleichzeitig auch dafür sorgt, daß nach der Installation eines Firmware-Updates von AVM (wobei dann im neuen System ja der Wrapper das Skript nicht enthalten würde) auch die notwendigen Änderungen am neuen Wrapper noch vorgenommen werden, ist das (für den Helfenden) ein einmaliger Vorgang bei der Installation einer solchen Erweiterung des FRITZ!OS.

Das ist dann so etwas wie ein Wurm, der sich bei einem Update selbst fortpflanzt und ins neue System einklinkt ... bei den GRX-Modellen muß man dafür allerdings die neu zu installierende Firmware erst mal entpacken, modifizieren und neu packen, weil es eben kein so einfach zu beschreibendes Dateisystem gibt (in dem dann auch noch Befehle gesucht und ausgeführt werden).

Wenn man es erst einmal gemacht hat, ist es erstaunlich simpel ... und so etwas wird man dann tatsächlich nur mit dem Recovery-Programm wieder los.
 
Danke für Deine Antwort PeterPawn!

Der 'einfachste' Weg wäre hierbei (für mich) der Beste. Es würde schon reichen, wenn man das Kennwort nicht ändern kann, oder dies bei einem Neustart wieder auf ein bekanntes zurückgesetzt wird (oder vergleichbares). Wenn ich Dich bzw. den verlinkten Thread richtig verstanden habe (leider maximal die hälfte), kann ich also mittels 'add_user_to_fritzos' aus Deinem 'YourFritz/toolbox/' ein Image erstellen, was ich dann mittels eines USB-Sticks an der Box (beim Starten) einklingt, was einen Benutzer erstellt, womit man sich im zweiten Schritt (nach einem Rebot) dann anmelden kann, oder den Benutzer erstellen und ausblenden, wobei die Variante mit '@' nicht mehr funktioniert. Ist dies halbwegs korrekt zusammengefasst? Dass laden der Werkseinstellungen muss etwas in der Form gar nicht überleben, da die Box dann ja eh neu einrichtet werden müsste, bzw. man dann eine Sicherung einspielen kann. Mir geht es am einfachsten nur darum, dass ein Benutzer möglichst "sicher" angelegt ist.

Sofern Du die Zeit findest, wäre es klasse (vielleicht auch für andere Interessent), wenn Du es für mich etwas einfacher beschreiben könntest, was konkret zu tun wäre. :(
 
Der Teil mit dem USB-Stick ist falsch ... das geht dann (ich sag mal wieder "glücklicherweise") doch nicht so einfach, daß man dort nur irgendwelche passenden Software ablegen müßte - das war nur eine Analogie meinerseits, weil man eine FRITZ!Box von einem alternativen System startet in diesem Fall, wie man es bei einem PC von einem USB-Stick auch täte.

Das Minimum, was man bei einer FRITZ!Box dafür braucht, ist ein per LAN angeschlossener Rechner ... das kann aber problemlos auch ein RasPi sein. Das ist m.W. immer noch das preiswerteste Gerät mit einem Ethernet-Anschluß, denn kleiner Geräte (Arduino, Pi Zero, uvm.) haben dann keinen Ethernet-Port und andere kosten mehr als ein Pi 3B+. Aber dann kann man sich damit tatsächlich ein (preiswertes) Gerät basteln, was für solche Zwecke (der "Infiltration" einer FRITZ!Box mit eigener Software) sehr gut geeignet ist und wenn man da noch eine Möglichkeit der Ein-/Ausgabe hinzufügt (z.B. ein kleiner Touchscreen-Monitor, die gibt's ja auch mit einer Diagonalen, die nicht weiter "aufträgt" bei den Maßen des Grundgeräts), dann braucht man nur dieses Gerät, eine Stromversorgung (eine FB schafft das nur, wenn sie USB3-Ports hat und auch die Notwendigkeit, die Box neu zu starten, macht die direkte Stromversorgung aus der Box eher schwierig) und ein Ethernet-Kabel.

Der erste Punkt wäre aber eben schon mal die Frage, um welche Modelle es sich nun überhaupt handelt ... für die VR9-Boxen kann ich bei Gelegenheit mal ein Skript zum "Festkrallen" (auch über AVM-Updates hinaus) in der Box ins Repo stellen.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 601 (Mitglieder: 2, Gäste: 599)

Neueste Beiträge

Statistik des Forums

Themen
244,878
Beiträge
2,220,027
Mitglieder
371,604
Neuestes Mitglied
broekar
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück