[Problem] FritzBox 7490 Kennwort stimmt nicht ...

unbekannter Benutzer

Aktives Mitglied
Mitglied seit
21 Mai 2019
Beiträge
1,125
Punkte für Reaktionen
177
Punkte
63
Wer schrieb komplette Firmware unterschieben?
 
Zuletzt bearbeitet:

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
14,134
Punkte für Reaktionen
1,357
Punkte
113
Das skip_auth-Verfahren (https://github.com/PeterPawn/YourFritz/blob/main/toolbox/build_skip_auth_image) bitte nicht mehr für aktuelle FRITZ!OS-Versionen (ab 07.24) verwenden. Das ganze Zeug mit dem "automatisch erzeugten Benutzer" (fritznnnn) hat da einiges durcheinander geworfen - und daß auch die "Erkennung" solcher automatischen Konten durch AVM nicht so ganz funktioniert (bzw. nicht komplett/korrekt umgesetzt wurde), hatte ich letztens hier irgendwo geschrieben.

AVM identifiziert diesen Account tatsächlich anhand des Namens (anstatt da ein vernünftiges Flag einzuführen oder gleich eine feste UserID zu verwenden) und sowie man selbst einen solchen Namen verwendet (wovon einen das GUI auch nicht - mit passenden Prüfungen - abhält), stimmt so manches nicht mehr mit den Anzeigen und den verschickten E-Mails des FRITZ!OS.

Ab dieser Änderung bei AVM (s.o., iirc war das ja erst die letzte "Hauptversion" bzw. das Labor davor, wo es geändert wurde) sollte man dann besser einen neuen Benutzer hinzufügen lassen (das SOLLTE eigentlich noch klappen, inkl. der Suche nach einer freien UserID auf der Ziel-Box) und diesen verwenden. Auch dafür gibt es (a) Skripte zum Erstellen eines passenden Images und (b) ein fertiges Image für 7490-Boxen.

Und theoretisch funktioniert die Logik dahinter auch mit neueren Modellen - nur das "Einpacken" der notwendigen Dateien für diese Änderungen muß dazu angepaßt werden, denn die Skripte (zumindest die, welche im Repo öffentlich zugänglich sind) verwenden ein ext2-Image für das rootfs - aber das ist eigentlich auch schnell erledigt, man muß nur ein passendes mksquashfs verwenden (Binaries für gängige PLattformen gibt es auch im YourFritz-Repo bzw. ausgelagert nach yf_bin) und das auf eine 256-Byte-Grenze ausrichten (iirc gibt es auch beim mksquashfs passende Optionen für's Padding).

Das gilt am Ende auch für neuere FRITZ!OS-Versionen für VR9-Systeme ... seitdem AVM da wieder auf ein SquashFS-Image für den Wrapper setzt, sollte man das auch machen - nur für den Fall, daß AVM den Kernel-Parser für den NAND-Flash so ändert, daß der ext2 (bzw. den SquashFS-Dummy-Header) nicht länger berücksichtigt. Außerdem gibt es (iirc) auch noch eine Prüfung im (Build-Image-)Skript, die auf ein ext2-Image in der originalen AVM-Datei prüft (sonst ist halt nicht sicher, daß der "geliehene" Kernel mit dem ext2-Format klarkommt und man braucht gar nicht erst weitermachen) - die müßte man dann natürlich auch noch ändern.

Für die 7490 gibt es aber eben schon "fertige" Erste-Hilfe-Images (im first_aid-Repo/-Submodule) und da es für deren Funktion auch vollkommen egal ist (zumindest in gewissem Rahmen, weil man kein "ganz altes" FRITZ!OS als Vorlage verwenden sollte - wenigstens die neuen TFFS-Treiber sollten im verwendeten Kernel sein), welche(s) OS auf der Box installiert ist, kann man die bereitgestellten Images auch noch mit neuen FRITZ!OS-Versionen benutzen - man MUSS sich also (bei diesem Modell zumindest) nicht selbst ein Image dafür basteln.



Hat man dann erst mal Zugriff, kann man ja auch einfach das "vergessene" Kennwort neu setzen - das Zerlegen der exportierten Konfiguration macht m.E. nur dann Sinn, wenn man die dort ausgelesenen Klartext-Daten dann irgendwo anders (zu Fuß) eintragen wollte ... ansonsten macht man halt ein Backup und legt sich das weg. Noch schlauer ist es (wenn die Umstände passen), den Mail-Versand der Konfiguration vor Updates auch zu aktivieren - zumindest dann, wenn das "Endlager" für solche Mails ein eigener Server ist (wo keiner diese Mail kopieren kann) oder man ein wirklich starkes Kennwort für den Export festgelegt hat.


Leicht OT:
Letzteres ist eigentlich immer zu empfehlen (AVM setzt da iirc inzwischen auch ein paar "Regeln" durch), denn ich will die Gelegenheit gleich nutzen und noch einmal darauf hinweisen, daß ein "Export-Kennwort" bei AVM nichts weiter als ein ("ungesalzener") MD5-Hash über die verwendete Zeichenkette ist (https://www.ip-phone-forum.de/threads/wie-funktioniert-eigentlich-die-avm-verschlüsselung-für-die-einstellungen.295101/) und so etwas kann man heutzutage relativ gut/schnell knacken - auch wenn man (da man hier den Hash-Wert nicht kennt und ihn nur durch Dekodieren des damit verschlüsselten Kennworts überprüfen kann) nicht direkt irgendwelche Rainbow-Tables heranziehen kann.

Aber zu simple Kennwörter (obendrein noch mit einem beschränkten Zeichenvorrat) SIND hier immer noch ein Problem ... das gilt auch für diejenigen, die ggf. noch irgendwelche alten Konfigurationen im IMAP-Postfach bei ihrem Mail-Provider herumliegen haben, denn die Forderung nach einem "starken" Kennwort für den Export ist auch noch nicht sooo alt im FRITZ!OS-GUI. Außerdem gab es zwischendrin auch mal ein Problem mit der Übernahme des Kennworts aus der GUI-Maske - wenn's schlecht lief, waren dabei erzeugte Backups dann nicht mit dem eingegebenen Kennwort verschlüsselt (und wer - außer wirklich guten Admins - überprüft ein solches Backup schon direkt -> das merkt man üblicherweise erst, wenn man's mal bräuchte und es dann nicht funktioniert).

Wer sich Konfigurationen über E-Mail zusenden läßt, sollte also zumindest Karteileichen im Postfach entsorgen - erstens helfen sie meist gar nicht mehr (weil sich zuviel zwischenzeitlich geändert hat) und zweitens sind sie (solange man nicht sicher weiß, wie stark/gut die Verschlüsselung/das Kennwort ist) ein Sicherheitsrisiko - denn so eine E-Mail ist schnell mal bei einem Provider herausgetragen (es gibt Websites, die sich nur der Frage widmen, ob ein Konto kompromittiert wurde: https://haveibeenpwned.com/) und da man ihr "Abhandenkommen" auch nicht bemerkt (die Daten werden ja nicht weniger) und vieles mit so einem gekaperten E-Mail-Konto möglich ist (bis hin zum Zurücksetzen der Kennwörter für viele andere Anbieter/Dienste), ist das eine durchaus reale Gefahr (vor allem für private Mail-Accounts).

Aber auch immer mehr Firmen nutzen "günstige" Mail-Provider (nach meinem Eindruck hat die Hälfte des deutschen Mittelstands und der KMU inzwischen ihre Post bei 1&1 gelagert - und das überwiegend auch noch ohne Verschlüsselung des Inhalts) und ich warte eigentlich nur darauf, daß dort mal jemand Daten herausträgt ... es trifft definitiv nicht nur "die Kleinen", wie auch ganz aktuelle Fälle zeigen und auch ein LDAP-Server (das dürfte der überwiegend genutzte Verzeichnisdienst sein) verwendet am Ende irgendeine Datenbank, die jemand abgreifen kann.
 

unbekannter Benutzer

Aktives Mitglied
Mitglied seit
21 Mai 2019
Beiträge
1,125
Punkte für Reaktionen
177
Punkte
63
Schön meinen Vorschlag zerlegt, aber gut zu wissen, dass skip_auth.image.7490 veraltet ist.
 

Micha0815

IPPF-Promi
Mitglied seit
25 Feb 2008
Beiträge
4,525
Punkte für Reaktionen
292
Punkte
83
Ich würde prüfen, ob noch eine Vorversion vor dem letzten Firmwarupdate existiert, wo das dokumentierte Kennwort noch stimmte. Also per adam2 linux_fs_start abfragen und evtl. umschalten
Abgesehen von ggfs. neu angelegten "Zwangsuser" fritznnnn dürfte sich die Kombi User+Passwort beim Firmware-Update nicht geändert haben. Auch gilt imho
die aktuell gültige Kombi für beide Partitionen, wie ich es gerade mal auf einer FB7530int mit GUI- Bootmanager (7.25<->7.27) getestet habe mit Wechsel des Userpasswortes.
Ergo wird der Wechsel nix bringen in Bezug auf das PW, wobei imo der expotentiell steigende Timer zwischen den Fehleingaben sich damit auch nicht austricksen/resetten lässt. ;)
Das
Und theoretisch funktioniert die Logik dahinter auch mit neueren Modellen - nur das "Einpacken" der notwendigen Dateien für diese Änderungen muß dazu angepaßt werden,
liest sich zudem ermunternd, sofern das jmd. wie @Insti vielleicht einmal für ein GRX- Modell vorexerziert? :D
LG
 
3CX

Neueste Beiträge

Statistik des Forums

Themen
239,165
Beiträge
2,123,240
Mitglieder
362,338
Neuestes Mitglied
DarkstaRX

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via