echo x > /tmp/flash/security; modsave

ozett

Neuer User
Mitglied seit
25 Jul 2006
Beiträge
85
Punkte für Reaktionen
0
Punkte
6
HI,
kann mir jemand einen tip geben, wo ich die security vor dem make des images vor-einstellen kann? :confused:

(ich mache das bislang immer hinterher mit echo x > /tmp/flash/security; modsave. möchte ich aber anders.., ich weiss: sicherheit, sicherheit, sicherheit...)

grüsse, ozett
 
Das ist derzeit nicht vorgesehen.

/tmp/flash liegt nicht im festen Firmware Teil im Image, sondern in dem Bereich, wo die Konfiguration abgespeichert wird. Es wird daher beim Firmware Update auch nicht verändert. Das ist praktisch, weil die Konfiguration erhalten bleibt. Daraus folgt aber auch, daß man nich mit einem firmware Update automatisch da Einstellungen ändern kann.

Du kannst aber diese Befehle in die Datei rc.custom mit aufnehmen. Damit wird die Einstellung automatisch bei jedem Neustart gesetzt (und modsave ist daher nicht nötig).
Wenn Du aber irgendwann einmal das ändern willst und Dich nicht mehr daran erinnerst, dann wirst Du Dich wundern, warum eine Änderung einen Neustart nicht überlebt.
 
webif schaut da nach?

hi,
verstehe ich das richtig, dass dann das webinterface von freetz im /flash/security nachschaut welcher level dort hinterlegt ist? und entsprechend die eingabefelder frei gibt? was ist denn der default - und wie kommt er dahin? der default ist ja kein x oder?

grüsse,
ozett
 
Code:
Index: root/usr/mww/cgi-bin/extras.cgi
===================================================================
--- root/usr/mww/cgi-bin/extras.cgi (revision 2718)
+++ root/usr/mww/cgi-bin/extras.cgi (working copy)
@@ -41,7 +41,7 @@
 
  cgi_end
 else
- sec_level=1
+ sec_level=0
  [ -r "/tmp/flash/security" ] && let sec_level="$(cat /tmp/flash/security)"
 
  OIFS="$IFS"
Index: root/usr/mww/cgi-bin/file.cgi
===================================================================
--- root/usr/mww/cgi-bin/file.cgi (revision 2718)
+++ root/usr/mww/cgi-bin/file.cgi (working copy)
@@ -9,7 +9,7 @@
 
 cgi_begin "$id" "file_$id"
 
-sec_level=1
+sec_level=0
 [ -r "/tmp/flash/security" ] && let sec_level="$(cat /tmp/flash/security)"
 
 OIFS="$IFS"
Index: root/usr/mww/cgi-bin/save.cgi
===================================================================
--- root/usr/mww/cgi-bin/save.cgi (revision 2718)
+++ root/usr/mww/cgi-bin/save.cgi (working copy)
@@ -153,7 +153,7 @@
 
   [ -e /mod/etc/reg/file.reg ] || touch /mod/etc/reg/file.reg
 
-  sec_level=1
+  sec_level=0
   [ -r /tmp/flash/security ] && let sec_level=$(cat /tmp/flash/security)
 
   OIFS=$IFS
MfG Oliver
 
starker toback

hi, danke. das ist direkt. für mich starker toback. ich trink mal n :bier: und guck mir das in aller ruhe an. vielleicht bleib ich bei der ersten, einfachen lösung. trozdem vielen dank. es geht ja hier echt schnell zu. und kompetent.

bis dann, grüsst, ozett

----anhang:
und jetzt fällt mir auf, dass ich das immer wie oben angegeben mit "echo x > ..." gemacht habe. also wirklich mit dem "x". dann gab es no security. die optionen sind aber numerisch 0,1,2. Gerade als ich den code sah auch noch mal das wiki gechecked. die eingabe soll aber auch nicht auf numerische oder alphanumerisch geprüft werden, oder? alles was nicht 1 oder 2 ist ist dann null. oder sowas, nicht?
 
Zuletzt bearbeitet:
Man sollte in der FAQ schon den Beitrag zu Ende lesen. Für mich steht da eindeutig drin welche Werte man für x einsetzen soll...

MfG Oliver
 
numerisch oder alpha

hi,
hab' ich ja jetzt. und mir ist mein verträumtes fehlerchen mit dem "x" aufgefallen, so dass das Fehlerchen zum Anlass nehmen wollte darauf hinzuweisen, dass wohl nicht auf numerische werte geprüft wird. Also auch alphanumerische eingaben gemacht werden können. ich find es nicht so dramatisch, bin auch auch kein entwickler. ich wollte es nur mal erwähnt haben, vielleicht möchte ja irgendjemand das lieber noch mit einer fehlerprüfung ausstatten, sobalds bekannt ist. Oder es ist "by design". Mir selbst ist beides recht. :)

so denn, weiterhin danke für die "response" hier im forum. finde ich echt super.

grüsse,
ozett
 
hi,
wohl nicht auf numerische werte geprüft wird. Also auch alphanumerische eingaben gemacht werden können.
"echo blabla" wird so ziemlich in jedem Script benutzt bei freetz und an anderen Stellen auch. Mit numerischen und alphanumerischen Werten. Dort gibt es keine Überprüfung, denn das ist ein "Standardkommando".

Man könnte allerhöchstens darüber nachdenken, die security-changes mit einem Script zu verstecken, was dann entsprechend prüft. Allerdings wäre das so vollkommen ohne Lese- und Lerneffekt. Ob das dann noch so sinnvoll ist....
 
Undefinierte Werte führen zu undefinierten Ergebnissen...

Das echo Kommando wird an dieser Stelle sogar von Hand aufgerufen und nicht aus einem Skript heraus. Es stecht jedem frei, auf anderem Weg den Inhalt der Datei zu ändern (cat, vi, ...).

Man könnte überlegen, beim Lesen eine Überprüfung vorzunehmen. Das würde aber zusätzlichen Platz verbrauchen, und was macht man, wenn tatsächlich ein nicht numerischer Wert da steht? Das ganze Web-Frontend deaktivieren, mit der hilfreichen Meldung " 'x' ist kein gültiger Wert"?
 
Der Security-Mechanismus ist momentan sowieso völlig wertlos, weil die Rudi-Shell ihn ignoriert und darüber somit vollständige Kontrolle über das System möglich ist. Da sollte man mal ganz allgemein überlegen, ob, und wenn ja, in welcher Form wir einen Security-Level implementieren möchten, und dies dann auch entsprechend konsequent umsetzen.
 
Könnte man die Rudi-Shell nicht auch von dem Security-Level abhängig machen? Ich blick da leider nicht durch was Alexander damals gemacht hat.

MfG Oliver
 
Du meinst, wer nicht genau lesen will, verdient es nicht anders?

So gravierend würde ich das nicht sagen. Aber es macht den Fehler eindeutiger, und spart Threads wie hier, wo jemand "x" dort dringelassen hat

Da sollte man mal ganz allgemein überlegen, ob, und wenn ja, in welcher Form wir einen Security-Level implementieren möchten, und dies dann auch entsprechend konsequent umsetzen.

Ja, wäre sinnig.

Könnte man die Rudi-Shell nicht auch von dem Security-Level abhängig machen?
Und zwar genau so Es bliebe dann auf jeden Fall noch die nano-shell, die man explizit mitflashen kann, und dann

Somit von mir ein "Ja".

LG
 
Hallo,

der Thread ist zwar schon ein paar Monate alt, aber ich wollte mal nachfragen, ob ich es richtig gesehen hatte, dass die Rudi-Shell sich inzwischen an den security level hält, oder?
 
Zuletzt bearbeitet:
Danke! Bzgl. "x" und so: Wenn man keinen ausreichenden security level eingestellt hat, wird man ja in diversen Freetz WebGUI-Fenstern (z.B. hosts?) darauf hingewiesen (in Rot, oberhalb des Fensters). Dort wäre sicherlich auch noch Platz für eine Zeile, welche die 3 möglichen Werte erläutert, evtl. sogar ein Link ins Freetz-Wiki. ;)

OT:
Wenn ich in diesem Thread ein paar praktische Hinweise erhalte, könnte ich mich mal daran machen, so ein paar "informative" Ergänzungen für das Freetz WebGUI als Patches zum Testen zu erstellen, um sie bei Gefallen später in den Trunk aufnehmen zu lassen.
 
Zuletzt bearbeitet:
@ao: Es steht dir frei, den security-Hinweis zu ändern und anzupassen und der GUI. Danach mit "svn diff > dateiname" aus der Wurzel des trunks ein Patchfile erzeugen, und dieses an ein Ticket zu hängen, oder hier ;)
Wir gucken dann drüber, testen und wenns ok ist und sinnvoll, wird es eingechecked :D

Allerdings gebe ich zu bedenken, dass ein Hinweis darauf, wie man das ändert, auch den Sicherheitsaspekt aufweicht. Denn so sieht dann jeder, der Zugriff aufs Freetz-Webinterface (oder die aktivierte nano-shell) hat, wie man diese Sache umgehen könnte, bzw. gibt zumindest Anhaltspunkte dazu ;)
 
Ich find die Idee gar nicht schlecht. Evtl. könnte man security_level als Hyperlink auf den FAQ-Text im Trac-Wiki setzen?

MfG Oliver
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.