Hola, me presento ya que soy nuevo por aquí; podéis llamarme peatonet.
Estoy trabajando en algunas modificaciones en un router con OpenWRT, y al añadir un puerto serie al router; me doy cuenta de que accede como root directamente sin solicitar password.
Esto me supone un problema, ya que debería conectar los 4 cables a los 4 pines cada vez que quiera acceder por esta vía.
Mi pregunta es si hay alguna forma de obligar al router a que pida password al acceder por esta vía; he estado buscando bastante tiempo, y he dado con esta solución que lo que hace es inhabilitar del todo el puerto serie:
comentar esta linea en /etc/inittab para añadir la siguiente:
#::askfirst:/bin/ash --login
::askfirst:/bin/login
Saludos, y muchas gracias.
Esa solución está bien.
Lo que no entiendo es el problema de la consola serie. Para acceder a la consola serie debes tener acceso físico al router para conectarle el adaptador TTL, y ese acceso físico sólo debe tenerlo el administrador, así que lo normal es que sea root quien intente acceder por consola serie. Dado que el proceso ya implica un acceso físico restringido, el password suele obviarse. La consola serie es como el puerto de administración restringido.
A no ser que instales una consola serie permanente, que sea accesible a todo el público, no debiera haber problema.
Y para acceder a la consola serie sólo hacen falta 3 cables (RX TX y GND). NO HAY QUE CONECTAR VCC o se corre el riesgo de freír al router.
¿Es que tienes algún problema para acceder a la consola por SSH? Por SSH siempre pide password porque la red es un medio público.
En primer lugar, muchas gracias por tu respuesta; la solución que comento no me ha funcionado ya que en vez de pedir password por defecto en el login mediante puerto serie, solo lo deshabilita sin posibilidad alguna de utilizar esa vía.
¿Alguien me podría indicar si hay que cambiar algo más? Tengo entendido que aun que quitemos el /ash --login, un demonio del sistema vuelve a añadirlo automáticamente.
En cuanto a lo del acceso restringido, visto lo visto en muchas empresas (no se en cual trabajas ni a que te dedicas) no creo que los routers estén bien guardados en la mayoría de los sitios. He visto sucursales bancarias con routers en plena mesa, y la IP pública pegada en una etiqueta sobre el router.
La consola serie no es un puerto de administración restringido, solo un bus serial con conector DB9; y pretendo dejarlo instalado permanentemente ya que por lo que vale un módulo conversor de TTL a RS232 me es mas cómodo dejarlo fijo, y hacer con la dremel un agujero a medida en la carcasa.
En cuanto a lo de que no se debe conectar VCC al router porque se puede quemar...no entiendo por que razón; te agradecería que compartas con todos la base para afirmarlo.
Supongo que has utilizado modulos conversores que se alimentan con 5V; y los routers que he visto, por dentro suelen trabajar a 3V. O la causa podría ser el utilizar un adaptador de RS232 a USB que ya alimente el módulo.
De todas formas, añadiendo una resistencia; si la placa es compatible por ejemplo con Arduino, que trabaja a 3V, no creo que haya ningún problema.
Muchas gracias otra vez por la ayuda.
Lo de acceso restringido es porque, evidentemente para acceder al puerto serie hay que tener acceso físico y abrir el router. Si pretendes dejarlo al aire, pues deja de ser restringido.
VCC no hay que conectarlo porque si no estarás intentando alimentar el router desde el USB. A este otro usuario ya se lo advertí y al final se le quemó el router: https://foro.seguridadwireless.net/openwrt/router-tp-link-wdr3600-brickeado-tras-instalar-openwrt/msg319046/#msg319046
Sólo te hace falta conectar GND, RX y TX, ya que las señales se basan en la diferencia de potencial entre el nivel 0 (GND) y el nivel de señal. Si sólo conectaras RX y TX te faltaría el umbral con el que comparar cuándo la señal es 1 o 0, y no recibirías nada (o basura). Si conectas VCC, estarás intentando alimentar el router desde el USB, y si el router no tiene protección de corriente inversa, y el USB tiene "mas fuerza" que el router, simplemente lo freirás, o freirás el USB por alimentarlo desde el USB y desde VCC.
Con respecto a lo del login por consola serie ahora mismo no podría asesorarte. No lo he intentado. Lo único que puedo decirte es que /bin/ash existe como fichero en el router, sin embargo /bin/login no existe como tal, así que debe ser por eso por lo que no funciona el login. Si alguien sabe algo más, por favor, que lo comente.
Por cierto, ¿qué versión de openwrt estás usando? La mía no tiene la directiva ::[b]askfirst[/b]:/bin/ash --login
sino ::[b]askconsole[/b]:/bin/ash --login
Hola, de verdad muchas gracias a todos por contribuir leyéndome, y sobre todo a aquellos que habéis respondido.
Tki2000 en primer lugar quiero agradecerte el consejo que me has dado respecto a no conectar VCC, he leído el hilo que me has adjuntado; y por supuesto hace tiempo que leí en varios sitios el mismo argumento, pero hablando de Raspberry PI en vez de routers.
Mi lío viene desde que vi que el conversor RS232-TTL funciona a 3V, y a 5V; entonces supuse que debe alimentarse de forma externa. También viene de que cuando he visto a gente conectar el típico cable directo de USB a GND-RX-TX-VCC, no conectan VCC; pero cuando he visto a alguien conectar el modulo
que estoy utilizando si lo han hecho.

Voy a probar lo que comentas, y si realiza correctamente la conexión a través del puerto serie sin conectar VCC, lo mantendré a partir de entonces desconectado; ya que ya he tentado a la suerte demasiado tiempo, también con mi Raspberry PI al que alguna vez le he conectado la misma placa TTL-RS232 al puerto UART además de la responsabilidad que me supone haber recomendado a la gente utilizarlo de tal manera durante este tiempo.
Por otro lado voy a revisar bien lo del fichero
/bin/ash, ya que el problema dicen que es una variable dentro de un archivo de configuración del sistema, o dentro de un demonio del sistema; que al intentar hacer login, añade el
--login al final "por si se ha olvidado".
Ya para concluir, el Firmware que estoy utilizando es OpenWRT BARRIER BREAKER (Bleeding Edge, r41508)
PD:
Seny eso suele pasar, se les llena la boca hablando de seguridad, pero pasas por delante de un cajero como tu dices cuando está reiniciando; y tocando un poco en la pantalla, acabas en el escritorio de Windows. Y ahí dentro están nuestros propios datos que se supone deberían proteger adecuadamente.
Saludos, y otra vez muchas gracias.