OpenSSH konfigurieren

[Weinstein]

Ich würde gerne die Konfiguration des sshd von OpenSSH erweitern, z. B. um

ClientAliveInterval 300 
ClientAliveCountMax 0

In welcher Datei kann ich das machen? Ich habe gesehen, dass die Konfig-Datei des sshd bei jedem Start aus Umgebungsvariablen generiert wird. Aber wie kann ich die Umgebungsvariablen setzen, so dass sie auch weitere Frimware-Updates überleben?

Gruß
Weinstein

 

[sf3978]

... wie kann ich die Umgebungsvariablen setzen, so dass sie auch weitere Frimware-Updates überleben?

Das könntest Du in deinem Build-System, vor dem erstellen des Freetz-Images machen.

 

[RalfFriedl]

Hast Du es schon mal im Web Frontend probiert?

 

[Weinstein]

Das könntest Du in deinem Build-System ... machen.

Ah, auf die Idee bin ich noch gar nicht gekommen. Ich habe die Konfig-Datei zweimal gefunden:

make/openssh/files/root/etc/default.openssh/openssh.cfg
build/modified/filesystem/etc/default.openssh/openssh.cfg

Wenn ich meine Änderungen in make/... einfüge, habe ich einen Fork und Probleme beim Update auf neuen Freetz-Versionen. Wenn ich sie in build/... einfüge, werden sie bei jedem build überschrieben. Gibt es eine Lösung dafür? Gibt es eine Anleitung für solche Konfigurationsänderungen?

 

[Weinstein]

Hast Du es schon mal im Web Frontend probiert?

Ich habe das Frontend gerade nicht verfügbar, aber nach meiner Interpretation der Datei make/openssh/files/root/usr/lib/cgi-bin/openssh.cgi müsste es eingentlich gehen, indem ich die Werte in das Feld "Optionen" eintrage. Ich vermute aber, dass ich dann zusätzlich auch noch die Konfiguration aus make/openssh/files/root/etc/default.openssh/openssh.cfg einfügen muss:

LoginGraceTime 2m
StrictModes no
MaxAuthTries 3
PubkeyAuthentication yes
RhostsRSAAuthentication no
PermitEmptyPasswords no
PermitTunnel yes
Protocol 2
HostKey /tmp/flash/openssh/rsa_host_key
HostKey /tmp/flash/openssh/dsa_host_key
UsePrivilegeSeparation yes
Subsystem sftp /usr/lib/sftp-server

Und dann komme ich über die im Cgi-Skript eingetragene Maximal-Länge von 255. Kennt jemand den Grund für diese Grenze?

 

[RalfFriedl]

Wenn man make/openssh/files/root/etc/default.openssh/openssh.cfg ändert, muss man ein neues Image erstellen. Dann bräuchte man keine Konfiguration mehr im Web Interface.

Vermutlich gibt es keinen Grund für diese Grenze. Setze den Wert mal hoch oder entferne die Grenze komplett.

 

[RalfFriedl]

Wenn man make/openssh/files/root/etc/default.openssh/openssh.cfg ändert, muss man ein neues Image erstellen. Dann bräuchte man keine Konfiguration mehr im Web Interface.

Vermutlich gibt es keinen Grund für diese Grenze. Setze den Wert mal hoch oder entferne die Grenze komplett.

 

[sf3978]

Ich habe das Frontend gerade nicht verfügbar, ...

Ja, im Web Frontend kann man auch zusätzliche Optionen konfigurieren:

Standard Optionen (nur ändern wenn man genau weiß, was man tut):

 

[Weinstein]

Ich habe jetzt nochmal nachgeschaut: Über die Web-Oberfläche kann ich nur $OPENSSH_OPTIONS setzen. Dieser Wert wird an die Kommandozeile übergeben. Damit scheidet das für mich aus, ich möchte ja die Konfig-Datei anpassen. Die Konfig-Datei wird im wesentlichen aus $OPENSSH_SETTINGS befüllt, was über die Web-Oberfläche nicht zugänglich ist. Wenn ich jetzt meine Konfiguration in make/openssh/files/root/etc/default.openssh/openssh.cfg eintrage, muss bei folgenden svn update ein merge machen. Gibt es auch eine Möglichkeit, die Konfiguration anzupassen, ohne potentiell Merge-Konflikte zu verursachen? "default.openssh" hört sich so an, als könne man das auch überschreiben, aber wie?

 

[Weinstein]

So, jetzt hab ich die Lösung:

echo 2 > /tmp/flash/mod/security
modsave
vi /mod/etc/conf/openssh.cgf
modconf save openssh
modsave flash