Wartezeit nach fehlerhaftem dropbear-login

[colonia27]

Hallo alle zusammen,

seit der letzten 76er-Release Firmware für die FB7270, ich beschränke mich hier jetzt nur auf meine Box, hat AVM auf der LoginSeite der Box eine weitere Funktion eingebaut, bei der nach fehlerhaften Logins eine bestimmte Zeit gewartet werden mußß bevor ein weitere Versuch möglich ist.
Nach erstem Versuch 1 Sekunde, nach dem Zweiten 4 Sekunden usw...

Meine Frage jetzt: Lässt sich diese, ich nenn sie mal Wait-Funktion, irgendwie auf den ssh-Server des Dropbear übertragen bzw. evtl über die Experten-Optionen im freetz-IF einstellen.

 

[RalfFriedl]

Dropbear wartet vermutlich sowieso schon nach einem fehlerhaften Anmeldeversuch. Allerdings versuchen die meisten erst gar nicht mehrere Paßwörter über eine Verbindung, sondern bauen für jeden Versuch eine neue Verbindung auf.

Damit trotzdem eine Wartezeit kommt, müßte die Information über eine fehlerhafte Anmeldung an andere Dropbear Prozesse weietrgegeben werden. Ich vermute nicht, daß das vorgesehen ist.

Das Problem mit den Paßwortversuchen ist normalerweise eher die CPU-Zeit, die verbraucht wird und die Box zum Absturz bringen kann. darüber gab es auch schon mal einen Thread.

Bei einem halbwegs vernünftig gewählten Paßwort ist es unwahrscheinlich, daß es durch zufällige Versuche herausgefunden wird.

 

[colonia27]

Allerdings versuchen die meisten erst gar nicht mehrere Paßwörter über eine Verbindung, sondern bauen für jeden Versuch eine neue Verbindung auf.

Wenn ich meinen syslog so anschau, scheint aber genau das zu passieren.

Bei einem halbwegs vernünftig gewählten Paßwort ist es unwahrscheinlich, daß es durch zufällige Versuche herausgefunden wird.

Naja, vernünfig ist mein Passwort schon, dennoch würde ich die Gegenseite gerne in einen Timeout oder ähnliches zwingen.

 

[colonia27]

Hallo Ralf oder wer da draussen sonst noch so mitliest,

Oliver hat mich gestern abend im irc noch auf diesen patch verwiesen, da er mir vielleicht weiterhilft.

Nur leider habe ich keine Ahnung was er meint was ich jetzt damit tun sollte.

Habe jetzt gerade mal den trunk frisch ausgecheckt und ein Image für die 7270 nur mit dropbear gebaut.

Im unter sources/dropbear.... in meinem freetz-ordner sind die im patch genannten Dateien options.h und sysoptions.h logischerweise jetzt enthalten. Wurden aber wenn ich das richtig versthehe beim Bauen nicht angewendet, oder?

Was muss ich mit den Dateien vor einem erneuten make jetzt machen?

 

[RalfFriedl]

Dieser Patch reduziert die gleichzeitig möglichen Verbindungen, die noch nicht angemeldet sind. Vermutlich ist der Patch bereits in Freetz enthalten und Du mußt damit gar nichts tun.

Um eine Wartezeit nach einem fehlgeschlagenen Versuch einzubauen bzw. zu verlängern scheint dies die richtige Stelle zu sein:

--- svr-auth.c
+++ svr-auth.c
@@ -345,7 +345,7 @@
        encrypt_packet();

        if (incrfail) {
-               usleep(300000); /* XXX improve this */
+               usleep(20000000); /* XXX improve this */
                ses.authstate.failcount++;
        }

Im Moment steht es bei 0.3 Sekunden, was kaum auffällt. Die 20 Sekunden sind vielleicht etwas viel, aber Du kannst je einen Wert nehmen, der Dir gefällt.

 

[colonia27]

Die 20 Sekunden sind vielleicht etwas viel

Wegen mir auch 200 Sekunden, ich kenn ja meinen LogIn

Im Ernst, vielen Dank erstmal bis dahin. Werd das mal testen, sobald meine "Regierung" mir erlaubt die Box mal wieder zu missbrauchen.