[PATCH] dropbear und Benutzer

[mehle]

Hallo,

folgender Patch adressiert 2 Probleme:

1. dropbear macht einen DNS reverselookup des clients. Ich habe eine make menuconfig Option eingebaut, womit man dies abschalten kann. Damit gehen Verbindungsaufbaue schneller - normalerweise braucht man diesen DNS-reverse lookup mit SSH nicht.

2. Der Patch für das ausschließliche Zulassen von root wurde leicht geändert: die Kommandozeilenoption -R aktiviert dies (ohne dieser, verhält sich dropbear wie upstream). Dazu habe ich im Konfigfrontend eine Option hinzugefügt, wo man die Authentisierung normale Benutzer erlauben kann.

Dieser Patch ist noch nicht vollständig getestet - er kompiliert. Ich konnte aber noch kein upload durchführen und live testen.

Der Patch ist gegen trunk.

Ciao
Stephan

 

[olistudent]

Ist drin. Bitte testen.

Vorher bitte:

make dropbear-dirclean

MfG Oliver

 

[hermann72pb]

dropbear macht einen DNS reverselookup des clients.

Bist du dir sicher? Denn ich greife meistens von einem privaten Netz hinter einer dynamischer Adresse auf dropbear zu. Was wird dabei als DNS-Name und IP des Clients übertragen? Vermutlich meine interne IP und auch interner Name. Selbst, wenn es über NAT der Box irgendwie der externe Name übertragen würde, wäre es vermutlich auch der dyndns-Name, welcher bekanntlich sich kaum über reverse-lookup auflösen lässt.

Ich weiß nicht, was da bei dropbear während der Anmeldung passiert, es wird aber meiner Meinung nach unabhängig vom Ausgang der Prüfung die Verbindung "freigegeben".

Wo ich etwas Bedenken habe, sind die brute-force-Attaken auf Port 22. Nicht, dass wir dadurch die Box doch in den Wahnsinn leichter treiben lassen, weil die Wartezeiten bei der Anmeldung sich nun verkürzen.

Ich weiß, dass es heutzutage kaum mehr anzuraten ist, Port 22 zu öffnen, ich habe es aber immer noch und sehe durch die Logs, wie die Kiddies da fleißig am rumprobieren sind.

MfG

 

[mehle]

Der reverse lookup wird immer gemacht, mit einem Timeout von 3 Sekunden oder so - ich will aber nicht so lange warten ;-)

Ciao
Stephan

 

[mehle]

[PATCHT Update

Patch update:

ich hatte 2 typos und ein Denkfehler im patch. Anbei ist ein neuer Patch gegen trunk

 

[mehle]

Hat von euch einer schon einmal normale Benutzer bei der Authentisierung zugelassen? Bei mir hängt dropbear nach erfolgreicher Anmeldung - das Freetz-Logo erscheint, aber die Zeile von Busybox schon nicht mehr.

SFTP schmeißt einen sofort raus, obwohl sauber authentisiert.

Habt ihr das schon mal gesehen/debugged?

Danke
Stephan

 

[sf3978]

Ja, bei mir funktionieren normale Benutzer mit dropbear (sftp und ssh):

# [B]sftp[/B] -oPort=xxxxx ftp*****@192.168.yyy.253
Connecting to 192.168.yyy.253...
ftp*****@192.168.yyy.253's password:
sftp> ls -l
drwxr-x---    7 ftp*****  root         1024 Mar 14 07:45 uStor01
drwxrwx---    5 ftp*****  root         1024 Mar 13 21:59 uStor02
sftp> exit

# [B]ssh[/B] -oPort=xxxxx ftp*****@192.168.yyy.253
ftp*****@192.168.yyy.253's password:
   __  _   __  __ ___ __
  |__ |_) |__ |__  |   /
  |   |\  |__ |__  |  /_

   The fun has just begun...


BusyBox v1.12.4 (2009-03-13 21:07:35 CET) built-in shell (ash)
Enter 'help' for a list of built-in commands.

-sh: /etc/init.d/rc.conf: line 4: can't create /var/env: Permission denied
ermittle die aktuelle TTY
tty is "/dev/pts/0"
setconsole: TIOCCONS: Operation not permitted
Console Ausgaben auf dieses Terminal umgelenkt
~ $  ls -l
drwxr-x---    7 ftp*****  root         1024 Mar 14 07:45 uStor01
drwxrwx---    5 ftp*****  root         1024 Mar 13 21:59 uStor02
~ $