Доводим до Вашего ведома, что на рынке Украины, России и стран СНГ ожидается появление клонов на модель DVB-T2 приставки World Vision T57/T57D. Пожалуйста, будьте бдительны при покупке данной модели, если вам поступают предложения не от официального импортера компании Galaxy Innovations.

Автор Тема: Безопасность и защита вашего Enigma 2 ресивера  (Прочитано 4726 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ooolexa

  • Администратор
  • Фельдфебель
  • *****
  • Спасибо
  • -> Поблагодарил: 1104
  • -> Поблагодарили: 4445
  • Сообщений: 2297
  • Страна: ru
  • Репутация: +4621/-0
  • Пол: Мужской
  • Награды Заслуженный пользователь клуба За благодарности Огромный вклад в развитие тем форума Продвинутый пользователь За заслуги перед wvclub.net За верность клубу
    • WVclub.NET
    • Награды
  • Модель ресивера: ET9000,Vu+duo
Безопасность и защита вашего Enigma 2 ресивера

Как то выпустили из внимания очень важную тему о безопасности и защите вашего устройства в локальной сети , а так же во внешней , особенно если Вы используете возможности стриминга с приставки Enigma 2 или просто открываете доступ в сеть для удаленного редактирования и управления приставкой .

И так если Вы устанавливаете новый имидж в ресивер , то в большинстве случаев по умолчанию пароль к системе отсутствует , поэтому чтобы обезопасить себя стоит установить пароль доступа который будите знать только Вы и не кто другой , для этого Вам понадобиться :

Запускаем программу DCC ( DСC – Dreambox Control Center )
Открываем вкладку Telnet , пароль меняется командой passwd root (можно просто passwd).
Т.е. набираем passwd root и нажимаем «Enter». Дрим предупредит, что пароль должен содержать от 5 до 8 знаков.
Набираем новый пароль, нажимаем «Enter», затем повторяем пароль и еще раз нажимаем «Enter».
При наборе пароль (или звездочки) на экране не отображается.



Пароль хранится в файле по адресу /etc/passwd в зашифрованном виде:

root:RSJEnyD8:0:0::/:/bin/sh
sshd:*:65532:65534::/:/bin/false
ftp:*:65533:65534::/:/bin/false
nobody:*:65534:65534::/:/bin/false

тело пароля выделено красным цветом, у каждого ресивера содержимое может отличаться. В действительности пароль не выделен, выделен он здесь для наглядности восприятия.

Редактируем файл passwd.
Строка будет иметь вид:

root::0:0::/:/bin/sh

тоесть мы удаляем пароль, который выше выделен красным цветом.

После этого можно поменять пароль через телнет, как написано выше.
Не зная пароля, не возможно будет зайти ни по FTP, ни через Telnet, так что лучше его не терять.
Эти пользователи сказали Вам СПАСИБО:

Оффлайн ooolexa

  • Администратор
  • Фельдфебель
  • *****
  • Спасибо
  • -> Поблагодарил: 1104
  • -> Поблагодарили: 4445
  • Сообщений: 2297
  • Страна: ru
  • Репутация: +4621/-0
  • Пол: Мужской
  • Награды Заслуженный пользователь клуба За благодарности Огромный вклад в развитие тем форума Продвинутый пользователь За заслуги перед wvclub.net За верность клубу
    • WVclub.NET
    • Награды
  • Модель ресивера: ET9000,Vu+duo
Продолжаем тему о защите доступа : Настройка и запуск ssh (dropbear)

Если я правильно помню, то пакет dropbear по умолчанию установлен уже в image и его процесс должен быть в списке действующих , команда

ps
мне пришлось инсталлировать

opkg update

opkg install dropbear

Остановка, запуск или перезапуск мы сделаем в сессии telnet командой:

/etc/init.d/dropbear start|stop|restart

Вообще-то ssh можно использовать сразу после установки, войдите, используя логин и пароль для тв-тюнера и, собственно, можно было бы на этом закончить, но цель этого описания показать, как настроить ssh с закрытым ключом и отключение входа под паролем.
Почему?
Поскольку вход в систему пароль не безопасно. Методом brute-force  можно пароль взломать если порт 22 остается слишком долго открыт снаружи и не контролируем журнал.

В связи с этим, в первую очередь, необходимо сгенерировать себе новый ключ rsa, потому что содержащийся в image есть у каждого, и лучше иметь свой, уникальный.
Останавливаемся dropbear и мы генерируем ключ:

dropbearkey -t rsa -f /home/root/dropbear_rsa_host_key
Пример:

root@et9x00:~# dropbearkey -t rsa -f /home/root/dropbear_rsa_host_key
Generating key, this may take a while...
Public key portion is:
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC8rmFrh4ZA5jcxtv7pPZksZ6Uuf/TiKKZnzIWTMxxH+CIb9AKMLMNCN8zcS6otlglcykfYkD3mz2Iz6rJUg2f2mkDB1Ap0ExGpPZalsAZGjGiyRLHXEm/tRaJQTyn15GR4UxdREQJca9n1SHXjISvCEIDDX6lS4OYZjIGhTM0h1bwMWzLpaEl1oDyЕTOH4/E/p2Vworxq2DKauAQLKDQwg0v9oMELo0A7B01+BOvX1iglFRcbuH10K82vg4BTvrexDtPuZVGYtz5wP/V06+/K/kaGFAEPXhBbkOnZvd5AxC9lEJW5pBMv2J204zN6f/ZZcFbukGtSKVyI9VE5Nesw3 root@et9x00
Fingerprint: md5 e4:96:63:eb:ad:0e:4e:70:8a:8b:38:3c:c7:89:af:f8


или

dropbearkey -t rsa 2048-f /home/root/dropbear_rsa_host_key
если кто-то желает ключа 2048 бит.

Сгенерированный ключ rsa переносим в /etc/dropbear/ поверх существующего. Стоит сохранить себе копию ключа , чтобы проверить на себе или при подключении в первый раз, к вашему серверу по ssh. Копия останется в нашей памяти в клиенте ssh (Putty) и в случае его несанкционированной 'замещения' Putty выдаст нам такой факт и спросит , есть ли это на самом деле наш сервер.





Следующим шагом является отключение входа паролем. Для этого вам необходимо создать файл с именем 'dropbear' ниже содержимым:

DROPBEAR_EXTRA_ARGS="-s-a"

где опция-s выключает использование пароля. Вариант-а, кроме того, для целей туннелирования соединения, но не об этом здесь буду писать, так что не должна она быть и у Вас. Давайте сосредоточимся только на опцию-s.

Так готовый файл (в приложении), мы помещаем в /etc/default/. Достаточно права 600, поэтому мы не должны ничего менять.

Затем нужно подготовить публичный ключ и приватный файл authorized_keys. Мы будем использовать программу Putty Key Generator ( прикрепил в аттаче ):

1. Мы генерируем ключ - сила ключа 1024 или 2048 для выбора, а не она зависит от силы ключа rsa, который ранее определение.





2. Записываем оба ключи где-то на жесткий диск компьютера (при записи необходимо решить, что ключ будет закодирован или нет - выбираем " нет").



3. Копируем ключ в буфер обмена.



4. Создаем файл с именем 'authorized_keys' и помещаем туда заранее скопированный ключ:



ВАЖНО: ключ должен быть на одной строке .  В ключе есть только 2 пробела: при первом слове rsa и перед вторым. Если всё сделали правильно то не должно быть проблем. Ключ может иметь различную продолжительность в зависимости от выбранной силы его при сборке.



5. Созданный файл authorized_keys' помещаем в /home/root/.shh/ то есть, в папке которого по умолчанию нет, нужно её создать. Как видите, папка должна иметь точку спереди в названии . Для удобства можно сначала создать без точки, добавить к нему файл authorized_keys и потом изменить на имя с точкой.

Генерация ключей у нас есть, поэтому мы открываем Putty (в приложении) и настроим сеанс ssh , но для того, чтобы использовать наш ключ, мы должны его указать в программе:





Настроенный и сохраненного сеанс Putty мы можем использовать для подключения.
Стартуете dropbear и создаете подключение.
Внешний вид процесса dropbear после изменения:



0:00 /usr/sbin/dropbear-r /etc/dropbear/dropbear_rsa_host_key-p 22-s-a

Помните, что с этого момента не залогиниться через ssh, без наличия закрытого ключа, поэтому, если вы планируете подключаться удаленно, необходимо взять с собой ключ , и, конечно, защищать перед другими!
Эти пользователи сказали Вам СПАСИБО:
« Последнее редактирование: 30 Июль 2014, 20:11:07 от ooolexa »

Оффлайн wolow

  • Супермодератор
  • Фельдфебель
  • *****
  • Спасибо
  • -> Поблагодарил: 126
  • -> Поблагодарили: 462
  • Сообщений: 612
  • Страна: ua
  • Репутация: +486/-6
  • Награды Заслуженный пользователь клуба За знание своего дела Продвинутый пользователь
    • Награды
  • Модель ресивера: VU+
со своей стороны добавлю, в epanel есть раздел паранойя, который позволяет останавливать/запускать сервисы, рекомендую, тем кому мерещатся враги, а в целом иногда надо....

Эти пользователи сказали Вам СПАСИБО:

Оффлайн Sapp

  • Канонир
  • *
  • Спасибо
  • -> Поблагодарил: 21
  • -> Поблагодарили: 1
  • Сообщений: 34
  • Страна: ua
  • Репутация: +1/-0
  • Пол: Мужской
    • Награды
  • Модель ресивера: World Vision Force1 (OpenPLi 4.0)
Какие данные нужно снять с ресивера, чтобы после неудачной прошивки или других проблем, можно было восстановится.
И как это сделать?
Благодарю.

Оффлайн skosarevk

  • Модератор
  • Фельдфебель
  • *****
  • Спасибо
  • -> Поблагодарил: 1214
  • -> Поблагодарили: 3560
  • Сообщений: 2765
  • Страна: ua
  • Репутация: +3586/-0
  • Пол: Мужской
  • DUM SPIRO SPERO
  • Награды Заслуженный пользователь клуба За благодарности За заслуги перед wvclub.net За вклад в развитие клуба За верность клубу Активист форума
    • СатРай
    • Награды
  • Модель ресивера: VU+ Ultimo 4K,VU+ Solo2,Xtrend ET9000,Xtrend ET6000
Какие данные нужно снять с ресивера, чтобы после неудачной прошивки или других проблем, можно было восстановится.
И как это сделать?
Самый простой вариант-это сохранить две папки из имиджа:usr и etc.
Эти пользователи сказали Вам СПАСИБО:
Отдельная личность не обязана быть мудрее целой нации.

Оффлайн undergiven

  • Продвинутый
  • Фельдфебель
  • *****
  • Спасибо
  • -> Поблагодарил: 32
  • -> Поблагодарили: 262
  • Сообщений: 781
  • Страна: 00
  • Репутация: +292/-2
  • Награды За знание своего дела
    • Награды
Самый простой и правильный способ - это сделать полный бэкап всей системы до начала экспериментов и если что пойдет не так, за пару минут восстановиться.
Эти пользователи сказали Вам СПАСИБО: