root-Passwort im Image

[-=The Brain=-]

Guten Abend,

 

lässt sich denn das root-Passwort der DBox ändern? Wenn ja, wo? Und vor allem wie?

 

Rein theoretischer Hintergrund :

 

User 1 bietet seinem besten Freund User 2 die Möglichkeit des CS an. Nun möchte User 1 aber nicht einfach so die Zugangsdaten offen legen, sondern lieber User 2 zu sich kommen lassen, ihm das CS auf der Box einstellen und dann das root-Passwort ändern. Damit User 2 die Zugangsdaten nicht auslesen und evtl. weitergeben kann.

 

Geht denn sowas ?

 

Grüße

[Worschter]

geh per Telnet auf die Box und gib ein

 

passwd

 

dann kannst ein Passwort vergeben für Telnet Zugriff,

 

das HTTP Passwort müsste das in der nhttpd.conf sein:

/var/tuxbox # cd config

/var/tuxbox/config # cat nhttpd.conf

AuthPassword=dbox2

AuthUser=root

Authenticate=false

LOG=false

NewGui=true

Port=80

PrivatDocRoot=/share/tuxbox/neutrino/httpd

PublicDocRoot=/var/httpd

THREADS=true

VERBOSE=false

Zapit_XML_Path=/var/tuxbox/config/zapit

[-=The Brain=-]

Danke schön! Dann kann sich User 1 ja beruhigt an die Configuration der Box machen. Denn in solchen Sachen vertraut User 1 eigentlich nur seiner Großmutter

 

Vielen Dank !

 

Edit : wenn ich das Passwort per Telnet ändere, lassen sich dann auch die camd3.servers und die camd3.config auch nicht mehr mit einem Tool herunter laden ?

bearbeitet 24. August 2005 von -=The Brain=-

[Bobbelsche]

wenn du per FTP runterlädst, dann gilt das neue root passwort auch für den FTPD. Also dann muss naütrlich auch beim FTP Verkehr das neue PW angegeben werden. Das ist eigentlich ja auch gut so, sonst würde die ganze sache ja kaum noch was bringen.

Gruß!

[-=The Brain=-]

naja, weil ich mir halt nicht ganz sicher war, dachte ich mir, ich frage lieber noch mal nach ... nicht das User2 dummes Zeug macht

 

Danke

 

Edit : benötigt denn User2 das root-Passwort, um per Experten-Einstellung eine Sicherung des Images zu machen? Eigentlich nicht ... oder?

 

Hmmm ... dann macht ja auch das Passwort keinen Sinn. Dann wird User 1 das wohl eher lassen !

bearbeitet 24. August 2005 von -=The Brain=-

[SnowHead]

@-=The Brain=-

 

Das Web-Interface mußt Du dann aber auch mit Passwort schützen, denn um zum

Beispiel die camd3.servers anzuschauen, reicht es, am PC im Browser einzugeben:

http://dbox_ip/../../../../var/keys/camd3.servers

Dann kann der User allerdings überhaupt nicht mehr auf das Web-Interface der Box

zugreifen. Ob er damit einverstanden ist?

Abgesehen davon kann er aber auch das Image auslesen und das komplett weiter-

geben oder sich den /var/-Bereich im ausgelesenen Image mit den NewTuxboxFlash-

Tools anschauen und somit die camd3.servers auslesen. Wenn Du dem Sharing-Part-

ner also nicht 100% vertrauen kannst, dann laß es lieber sein.

[-=The Brain=-]

@Snowhead

 

doch, dem Sharing-Partner kann ich vertrauen. Ganz sicher sogar. Der hat mich ja erst selber drauf gebracht, die Box dann abzusichern. Er ist im Moment an einer Fachschule für IT-Freaks .

 

Und er hat die Stube 1. nicht alleine und 2. ist er ja auch nicht immer da. So das sich ein findiger Fuchs eine Sicherung der Box ziehen könnte ...

 

Also werden wir das mal lieber lassen !!! Oder gibt es eine Möglichkeit, das wirklich halbwegs sicher zu machen?

 

OT : Übrigens bin ich mit dem OfflineUpdate eigentlich fertig. Noch ein paar kleine Feinheiten, dann passt das. Kann nur leider die nächsten 2 Tage nix weiter machen. Bin zu Hause ... Kind krank. Und wie das nun mal zu Hause ist, da kommt man programmier-technisch zu nix.

 

Meine Frau hat schon mal leicht geknurrt, weil ich immer soviel vor dem PC hänge. ORIGINALTON : Dann frage ich eben den Worschter, ob der mich wärmt wenn ich friere ... Mir ist fast das Gesicht eingeschlafen.

 

Das ist eben, weil Frauen (oft) kein Verständnis für wirklich WICHTIGE Sachen haben

 

Grüße

bearbeitet 24. August 2005 von -=The Brain=-

[SnowHead]

@-=The Brain=-

 

Gegen das Auslesen des Images kann man die Box nicht schützen. Weißt Du ja

selber, daß in dem Moment, wo der BootP-Request der Box vom PC beantwortet

und die ppcboot übertragen wird, die Kontolle völlig beim PC liegt, egal was im

Flash steht.

 

Deinem Kind gute Besserung (Deiner Frau auch ).

 

Offline-Update eilt nicht. Bin in den nächsten Tagen zeitlich auch bissl knapp dran.

[-=The Brain=-]

@SnowHead

 

Offline-Update eilt nicht. Bin in den nächsten Tagen zeitlich auch bissl knapp dran.

 

Naja, am Montag bin ich ja wieder arbeiten. Da komme ich dann wenigstens zu was ...

Und danke für die Genesungswünsche an Frau und Kind. Werde ich ihr gleich morgen früh mal sagen. Bin gespannt was sie sagt.

 

Also nächste Woche sollte das mit dem Update eigentlich fertig sein. Ich schcike Dir dann mal eine XML-Datei. Dann hast Du das Grundgerüst wie es aussehen muss.

 

Grüße

[Gast ms-dos]

Hallo!

 

Selbst wenn du die Box gegen auslesen 100% Wasserdicht bekommst, hilft das ja nicht unbedingt.

 

Nehmen wir mal rein theoretisch an, es handle sich um eine WG, wo User3 gerne auch die Daten hätte:

Der nimmt sich Ethereal und snifft einfach mit, wo die dBox hintelefoniert

[SnowHead]

@ms-dos

 

Damit würde er zwar die IP und den Port rausbekommen (wobei die IP maximal

bis zur nächsten Neu-Einwahl des Serverrouters stimmen würde), könnte aber

ohne die Zugangsdaten User und Pass damit nichts anfangen. Die kann er aus

einem gesnifften Paket nicht herauslesen.

[Bobbelsche]

@ms-dos: Das wäre eigentlich voll wurst, dann hätte er zwar die Empfänger IP und Port aber mehr auch nicht. Alles andere ist ja verschlüsselt. Wobei, ich glaub den Namen würde er noch rausbekommen, der Rest ist verschlüsselt. Weiss grad nicht genau, aber selbst wenn, das hilft in keinster Weise. Aber so gesehen hat SnowHead ja recht, das Image aus zu lesen ist kein Problem, ABER ich denke es reicht trotzdem beim Webinterface Authentica=true zu setzen und das root passwort zu ändern. Um dann an das Passwort zu kommen brauch man schon einiges an "sportlichen Ergeizes"

Unmöglich isses naütlrich nicht aber wer von dboxen keine Ahnung hat und nur PW schauen will, der findet vielleicht grad so raus, dass man per FTP auf die Box connecten kann aber wie man das Image aus dem Flash ausliest wird dann schon schwerer und daraus dann auch noch Dateien zu extrahieren ist dann ein Problem, vor allem wenn man nicht mal weiss welche.... Aber gut, ich gehe halt davon aus, dass nicht jeder weiss "was ne dbox ist"...

Mein Tipp: Es gibt ja jetzt (DANKE an Worschter ) chown, einfach per Squash -Edi

chmod -R o-rwx /*

chmod -R o+rwx /bin

machen, dann ein client verzeichnis anlegen (/var/client) und das dem User zuweisen, dann hat er nen schönen Honeypot wo er rumspielen kann. Ausserdem kannste noch skripte ablegen die nützlich sind, falls sie noch nicht im Image sein sollten.

Gruß, Bo

 

P.S. Argh, meine Beiträge werden immer länger, das ist selbst für mich langweilig zu lesen, sorry

 

[EDIT]SbowHead: Diesmal warste nicht zu langsam, hätte ich mich nur nicht wieder zu so nem langen Beitrag hinreissen lassen 20 Sekunden waren´s nur!!! [/EDIT]

bearbeitet 25. August 2005 von Bobbelsche

[SnowHead]

@Bobbelsche

 

Yepp, habe gelernt, mich kurzzufassen.

(zumindest hin und wieder )

[Gast ms-dos]

Ah, sehr gut... verschlüsselt... das weckt meinen Spieltrieb

[-=The Brain=-]

Juten Abend,

 

eins fällt mir gerade noch ein ... den Menü-Punkt kann man nicht irgendwie durch ändern einer Config oder durch löschen einer Datei aus dem Image nehmen? Oder?

 

Wenn das ginge, wäre es doch eigentlich sicher. Das root-Passwort geändert und die Expertenfunktion raus ... dann ist es doch (zumindest so einfach) nicht mehr möglich, das Image zu übertragen oder sich die camd3-Config´s anzusehen!?

 

Grüße

[Worschter]

@-=The Brain=-

 

die Expertenfunktion rausnehmen geht nicht soweit ich weiß.

Ausserdem müsstest Du den Tuxbox Commander rausnehmen und die Bootkonsole

auf null stellen.

[-=The Brain=-]

Oder kann man denn das Menü ändern? Dann könnte man ja den Eintrag im Menü ins Nirvana laufen lassen ...

[SnowHead]

@-=The Brain=-

 

Das wird alles nix Halbes und nix Ganzes. Wenn Du ausschließen kannst, daß die

anderen Leute der Box mit dem Bootmanager zu Leibe rücken, dann pack einfach

einen Aufruf zum lcdmenu ganz vorn in die rcS (noch vor dem Start des FTP und

HTTP-Dienstes) und die Box läßt sich nur nach Eingabe einer vierstelligen PIN star-

ten ohne vorher FTP- oder HTTP-Zugriff auf das Image zu gewähren.

[Bobbelsche]

Ja mal ne Frage, warum sollte man die Expertenfunktion wegmachen? Dann kann er zwar ein Image auslesen und in /tmp legen oder dieses wieder einlesen aber wie soll er mit geändertem root Passwort ein anderes hochladen oder dieses runterladen? das geht ja auch nur per FTP und das Passwort ist ja das gleiche wie das gültige Telnet Passwort.

Also mehr als im RAM ein Image ablegen oder über´s internet eins zu holen geht nicht. Wobei du selsbt das unterbinden könntest, indem du in der HOSTS Datei den Pfad auf 127.0.0.1 änderst. Dann gehen selbst die Internetupdates nicht mehr (wobei ich den Sinn nicht wirklich sehe )

Also mir fällt nicht ein, wie man mit der Expertenfunktino und geändertem root Passwort an die Einstellungen kommen sollte.

Gruß, Bo

[Worschter]

z.B. mit den New-Tux-Flashtools

 

den Var Bereich kann man bei nem ausgelesenen Squashfs Image schon lesen.

[Bobbelsche]

@Worschter: wie wird denn das übertragen? Ich mein wenn man an der Box ist, dann isses klar, dann hilft aber das Abschalten ja auch nicht, das image kann man ja auch per "cat" sichern... beides setzt aber voraus, dass ich entweder per telnet oder per ftp auf die box kann um das image auch auf den pc zu holen.

daher bringt es mit den new-tux-flashtools doch eigentlich auch nix, oder sehe ich das falsch? Die einzige möglichkeit ohne root passwort wäre meiner meinung nach doch über den bootmanager das image aus zu lesen und dann die dateien zu extrahieren.

oder übersehe ich da was?

[Worschter]

oder übersehe ich da was?

 

nein,

 

Da hast Du natürlich recht, sorry.

soweit hab ich nicht gedacht.

[SnowHead]

@Bobbelsche

 

Genau so isses. Wenn alles über Passwörter abgesichert und der Tuxbox-

Commander rausgeschmissen ist, geht's nur noch über das Image-Auslesen

mit ner ppcboot vom PC aus.

 

Edit: zu spät, ich geh mal besser in's Bettchen