Внимание! Новое программного обеспечение для World Vision Foros Ultra и World Vision Foros Combo S2/T2 выложено в теме с обновлением.

Подробней в теме: по ссылке

Автор Тема: Безопасность и защита вашего Enigma 2 ресивера  (Прочитано 19403 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Онлайн ooolexa

  • Администратор
  • Фельдфебель
  • *****
  • Спасибо
  • -> Вы поблагодарили: 3107
  • -> Вас поблагодарили: 14174
  • Сообщений: 6754
  • Репутация: +14608/-3
  • Пол: Мужской
  • Не задавайте технические вопросы в личку!
  • awards Заслуженный пользователь клуба За благодарности Продвинутый пользователь Огромный вклад в развитие тем форума За заслуги перед wvclub.net За верность клубу
    • World Vision Club
    • Награды
Безопасность и защита вашего Enigma 2 ресивера

Как то выпустили из внимания очень важную тему о безопасности и защите вашего устройства в локальной сети , а так же во внешней , особенно если Вы используете возможности стриминга с приставки Enigma 2 или просто открываете доступ в сеть для удаленного редактирования и управления приставкой .

И так если Вы устанавливаете новый имидж в ресивер , то в большинстве случаев по умолчанию пароль к системе отсутствует , поэтому чтобы обезопасить себя стоит установить пароль доступа который будите знать только Вы и не кто другой , для этого Вам понадобиться :

Запускаем программу DCC ( DСC – Dreambox Control Center )
Открываем вкладку Telnet , пароль меняется командой passwd root (можно просто passwd).
Т.е. набираем passwd root и нажимаем «Enter». Дрим предупредит, что пароль должен содержать от 5 до 8 знаков.
Набираем новый пароль, нажимаем «Enter», затем повторяем пароль и еще раз нажимаем «Enter».
При наборе пароль (или звездочки) на экране не отображается.



Пароль хранится в файле по адресу /etc/passwd в зашифрованном виде:

root:RSJEnyD8:0:0::/:/bin/sh
sshd:*:65532:65534::/:/bin/false
ftp:*:65533:65534::/:/bin/false
nobody:*:65534:65534::/:/bin/false

тело пароля выделено красным цветом, у каждого ресивера содержимое может отличаться. В действительности пароль не выделен, выделен он здесь для наглядности восприятия.

Редактируем файл passwd.
Строка будет иметь вид:

root::0:0::/:/bin/sh

тоесть мы удаляем пароль, который выше выделен красным цветом.

После этого можно поменять пароль через телнет, как написано выше.
Не зная пароля, не возможно будет зайти ни по FTP, ни через Telnet, так что лучше его не терять.
Эти пользователи сказали Вам СПАСИБО:
WV Foros Combo T2/S2, WV Premium, WV T62, WV Force 1&1+, WV DVB-T2, World Vision ET9000
Satellite: 4w, 1.9е, 4.9e, 7e, 9e, 13e, 16е, 19e, 23.5e, 36e, 53е, 55e, 75e, 85.2e, 90e

Онлайн ooolexa

  • Администратор
  • Фельдфебель
  • *****
  • Спасибо
  • -> Вы поблагодарили: 3107
  • -> Вас поблагодарили: 14174
  • Сообщений: 6754
  • Репутация: +14608/-3
  • Пол: Мужской
  • Не задавайте технические вопросы в личку!
  • awards Заслуженный пользователь клуба За благодарности Продвинутый пользователь Огромный вклад в развитие тем форума За заслуги перед wvclub.net За верность клубу
    • World Vision Club
    • Награды
Продолжаем тему о защите доступа : Настройка и запуск ssh (dropbear)

Если я правильно помню, то пакет dropbear по умолчанию установлен уже в image и его процесс должен быть в списке действующих , команда

ps
мне пришлось инсталлировать

opkg update

opkg install dropbear

Остановка, запуск или перезапуск мы сделаем в сессии telnet командой:

/etc/init.d/dropbear start|stop|restart

Вообще-то ssh можно использовать сразу после установки, войдите, используя логин и пароль для тв-тюнера и, собственно, можно было бы на этом закончить, но цель этого описания показать, как настроить ssh с закрытым ключом и отключение входа под паролем.
Почему?
Поскольку вход в систему пароль не безопасно. Методом brute-force  можно пароль взломать если порт 22 остается слишком долго открыт снаружи и не контролируем журнал.

В связи с этим, в первую очередь, необходимо сгенерировать себе новый ключ rsa, потому что содержащийся в image есть у каждого, и лучше иметь свой, уникальный.
Останавливаемся dropbear и мы генерируем ключ:

dropbearkey -t rsa -f /home/root/dropbear_rsa_host_key
Пример:

root@et9x00:~# dropbearkey -t rsa -f /home/root/dropbear_rsa_host_key
Generating key, this may take a while...
Public key portion is:
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC8rmFrh4ZA5jcxtv7pPZksZ6Uuf/TiKKZnzIWTMxxH+CIb9AKMLMNCN8zcS6otlglcykfYkD3mz2Iz6rJUg2f2mkDB1Ap0ExGpPZalsAZGjGiyRLHXEm/tRaJQTyn15GR4UxdREQJca9n1SHXjISvCEIDDX6lS4OYZjIGhTM0h1bwMWzLpaEl1oDyЕTOH4/E/p2Vworxq2DKauAQLKDQwg0v9oMELo0A7B01+BOvX1iglFRcbuH10K82vg4BTvrexDtPuZVGYtz5wP/V06+/K/kaGFAEPXhBbkOnZvd5AxC9lEJW5pBMv2J204zN6f/ZZcFbukGtSKVyI9VE5Nesw3 root@et9x00
Fingerprint: md5 e4:96:63:eb:ad:0e:4e:70:8a:8b:38:3c:c7:89:af:f8


или

dropbearkey -t rsa 2048-f /home/root/dropbear_rsa_host_key
если кто-то желает ключа 2048 бит.

Сгенерированный ключ rsa переносим в /etc/dropbear/ поверх существующего. Стоит сохранить себе копию ключа , чтобы проверить на себе или при подключении в первый раз, к вашему серверу по ssh. Копия останется в нашей памяти в клиенте ssh (Putty) и в случае его несанкционированной 'замещения' Putty выдаст нам такой факт и спросит , есть ли это на самом деле наш сервер.





Следующим шагом является отключение входа паролем. Для этого вам необходимо создать файл с именем 'dropbear' ниже содержимым:

DROPBEAR_EXTRA_ARGS="-s-a"

где опция-s выключает использование пароля. Вариант-а, кроме того, для целей туннелирования соединения, но не об этом здесь буду писать, так что не должна она быть и у Вас. Давайте сосредоточимся только на опцию-s.

Так готовый файл (в приложении), мы помещаем в /etc/default/. Достаточно права 600, поэтому мы не должны ничего менять.

Затем нужно подготовить публичный ключ и приватный файл authorized_keys. Мы будем использовать программу Putty Key Generator ( прикрепил в аттаче ):

1. Мы генерируем ключ - сила ключа 1024 или 2048 для выбора, а не она зависит от силы ключа rsa, который ранее определение.





2. Записываем оба ключи где-то на жесткий диск компьютера (при записи необходимо решить, что ключ будет закодирован или нет - выбираем " нет").



3. Копируем ключ в буфер обмена.



4. Создаем файл с именем 'authorized_keys' и помещаем туда заранее скопированный ключ:



ВАЖНО: ключ должен быть на одной строке .  В ключе есть только 2 пробела: при первом слове rsa и перед вторым. Если всё сделали правильно то не должно быть проблем. Ключ может иметь различную продолжительность в зависимости от выбранной силы его при сборке.



5. Созданный файл authorized_keys' помещаем в /home/root/.shh/ то есть, в папке которого по умолчанию нет, нужно её создать. Как видите, папка должна иметь точку спереди в названии . Для удобства можно сначала создать без точки, добавить к нему файл authorized_keys и потом изменить на имя с точкой.

Генерация ключей у нас есть, поэтому мы открываем Putty (в приложении) и настроим сеанс ssh , но для того, чтобы использовать наш ключ, мы должны его указать в программе:





Настроенный и сохраненного сеанс Putty мы можем использовать для подключения.
Стартуете dropbear и создаете подключение.
Внешний вид процесса dropbear после изменения:



0:00 /usr/sbin/dropbear-r /etc/dropbear/dropbear_rsa_host_key-p 22-s-a

Помните, что с этого момента не залогиниться через ssh, без наличия закрытого ключа, поэтому, если вы планируете подключаться удаленно, необходимо взять с собой ключ , и, конечно, защищать перед другими!
« Последнее редактирование: 30 Июль 2014, 20:11:07 от ooolexa »
Эти пользователи сказали Вам СПАСИБО:
WV Foros Combo T2/S2, WV Premium, WV T62, WV Force 1&1+, WV DVB-T2, World Vision ET9000
Satellite: 4w, 1.9е, 4.9e, 7e, 9e, 13e, 16е, 19e, 23.5e, 36e, 53е, 55e, 75e, 85.2e, 90e

Онлайн wolow

  • Супермодератор
  • Фельдфебель
  • *****
  • Спасибо
  • -> Вы поблагодарили: 650
  • -> Вас поблагодарили: 2240
  • Сообщений: 2568
  • Репутация: +2288/-3
    • Награды
  • Модель ресивера: VU+
со своей стороны добавлю, в epanel есть раздел паранойя, который позволяет останавливать/запускать сервисы, рекомендую, тем кому мерещатся враги, а в целом иногда надо....

Эти пользователи сказали Вам СПАСИБО:

Оффлайн Sapp

  • Активист
  • *
  • Спасибо
  • -> Вы поблагодарили: 22
  • -> Вас поблагодарили: 1
  • Сообщений: 38
  • Репутация: +1/-0
  • Пол: Мужской
    • Награды
  • Модель ресивера: WV Force1 (ОpenATV 6.1)
Какие данные нужно снять с ресивера, чтобы после неудачной прошивки или других проблем, можно было восстановится.
И как это сделать?
Благодарю.

Оффлайн KOSTEY

  • Модератор
  • Фельдфебель
  • *****
  • Спасибо
  • -> Вы поблагодарили: 1239
  • -> Вас поблагодарили: 3617
  • Сообщений: 2734
  • Репутация: +3643/-0
  • Пол: Мужской
  • DUM SPIRO SPERO
  • awards Заслуженный пользователь клуба За благодарности За заслуги перед wvclub.net За вклад в развитие клуба За верность клубу Активист форума
    • СатРай
    • Награды
  • Модель ресивера: VU+ Ultimo 4K,VU+ Solo2,Xtrend ET9000,Xtrend ET6000
Какие данные нужно снять с ресивера, чтобы после неудачной прошивки или других проблем, можно было восстановится.
И как это сделать?
Самый простой вариант-это сохранить две папки из имиджа:usr и etc.
Эти пользователи сказали Вам СПАСИБО:
Отдельная личность не обязана быть мудрее целой нации.

Оффлайн undergiven

  • Продвинутый
  • Фельдфебель
  • *****
  • Спасибо
  • -> Вы поблагодарили: 32
  • -> Вас поблагодарили: 265
  • Сообщений: 781
  • Репутация: +295/-2
  • awards За знание своего дела
    • Награды
Самый простой и правильный способ - это сделать полный бэкап всей системы до начала экспериментов и если что пойдет не так, за пару минут восстановиться.
Эти пользователи сказали Вам СПАСИБО: