Equipos y materiales > Openwrt & LEDE
OpenWRT exigir password al hacer login por puerto serie.
(1/4) > >>
peatonet:
Hola, me presento ya que soy nuevo por aquí; podéis llamarme peatonet.

Estoy trabajando en algunas modificaciones en un router con OpenWRT, y al añadir un puerto serie al router; me doy cuenta de que accede como root directamente sin solicitar password.

Esto me supone un problema, ya que debería conectar los 4 cables a los 4 pines cada vez que quiera acceder por esta vía.

Mi pregunta es si hay alguna forma de obligar al router a que pida password al acceder por esta vía; he estado buscando bastante tiempo, y he dado con esta solución que lo que hace es inhabilitar del todo el puerto serie:

comentar esta linea en /etc/inittab para añadir la siguiente:
#::askfirst:/bin/ash --login
::askfirst:/bin/login

Saludos, y muchas gracias.
Tki2000:

--- Cita de: peatonet en 24-12-2014, 01:06 (Miércoles) ---Hola, me presento ya que soy nuevo por aquí; podéis llamarme peatonet.

Estoy trabajando en algunas modificaciones en un router con OpenWRT, y al añadir un puerto serie al router; me doy cuenta de que accede como root directamente sin solicitar password.

Esto me supone un problema, ya que debería conectar los 4 cables a los 4 pines cada vez que quiera acceder por esta vía.

Mi pregunta es si hay alguna forma de obligar al router a que pida password al acceder por esta vía; he estado buscando bastante tiempo, y he dado con esta solución que lo que hace es inhabilitar del todo el puerto serie:

comentar esta linea en /etc/inittab para añadir la siguiente:
#::askfirst:/bin/ash --login
::askfirst:/bin/login

Saludos, y muchas gracias.

--- Fin de la cita ---

Esa solución está bien.
Lo que no entiendo es el problema de la consola serie. Para acceder a la consola serie debes tener acceso físico al router para conectarle el adaptador TTL, y ese acceso físico sólo debe tenerlo el administrador, así que lo normal es que sea root quien intente acceder por consola serie. Dado que el proceso ya implica un acceso físico restringido, el password suele obviarse. La consola serie es como el puerto de administración restringido.
A no ser que instales una consola serie permanente, que sea accesible a todo el público, no debiera haber problema.
Y para acceder a la consola serie sólo hacen falta 3 cables (RX TX y GND). NO HAY QUE CONECTAR VCC o se corre el riesgo de freír al router.
¿Es que tienes algún problema para acceder a la consola por SSH? Por SSH siempre pide password porque la red es un medio público.
peatonet:

--- Cita de: Tki2000 en 24-12-2014, 17:46 (Miércoles) ---
--- Cita de: peatonet en 24-12-2014, 01:06 (Miércoles) ---Hola, me presento ya que soy nuevo por aquí; podéis llamarme peatonet.

Estoy trabajando en algunas modificaciones en un router con OpenWRT, y al añadir un puerto serie al router; me doy cuenta de que accede como root directamente sin solicitar password.

Esto me supone un problema, ya que debería conectar los 4 cables a los 4 pines cada vez que quiera acceder por esta vía.

Mi pregunta es si hay alguna forma de obligar al router a que pida password al acceder por esta vía; he estado buscando bastante tiempo, y he dado con esta solución que lo que hace es inhabilitar del todo el puerto serie:

comentar esta linea en /etc/inittab para añadir la siguiente:
#::askfirst:/bin/ash --login
::askfirst:/bin/login

Saludos, y muchas gracias.

--- Fin de la cita ---

Esa solución está bien.
Lo que no entiendo es el problema de la consola serie. Para acceder a la consola serie debes tener acceso físico al router para conectarle el adaptador TTL, y ese acceso físico sólo debe tenerlo el administrador, así que lo normal es que sea root quien intente acceder por consola serie. Dado que el proceso ya implica un acceso físico restringido, el password suele obviarse. La consola serie es como el puerto de administración restringido.
A no ser que instales una consola serie permanente, que sea accesible a todo el público, no debiera haber problema.
Y para acceder a la consola serie sólo hacen falta 3 cables (RX TX y GND). NO HAY QUE CONECTAR VCC o se corre el riesgo de freír al router.
¿Es que tienes algún problema para acceder a la consola por SSH? Por SSH siempre pide password porque la red es un medio público.

--- Fin de la cita ---

En primer lugar, muchas gracias por tu respuesta; la solución que comento no me ha funcionado ya que en vez de pedir password por defecto en el login mediante puerto serie, solo lo deshabilita sin posibilidad alguna de utilizar esa vía.

¿Alguien me podría indicar si hay que cambiar algo más? Tengo entendido que aun que quitemos el /ash --login, un demonio del sistema vuelve a añadirlo automáticamente.

En cuanto a lo del acceso restringido, visto lo visto en muchas empresas (no se en cual trabajas ni a que te dedicas) no creo que los routers estén bien guardados en la mayoría de los sitios. He visto sucursales bancarias con routers en plena mesa, y la IP pública pegada en una etiqueta sobre el router.

La consola serie no es un puerto de administración restringido, solo un bus serial con conector DB9; y pretendo dejarlo instalado permanentemente ya que por lo que vale un módulo conversor de TTL a RS232 me es mas cómodo dejarlo fijo, y hacer con la dremel un agujero a medida en la carcasa.

En cuanto a lo de que no se debe conectar VCC al router porque se puede quemar...no entiendo por que razón; te agradecería que compartas con todos la base para afirmarlo.

Supongo que has utilizado modulos conversores que se alimentan con 5V; y los routers que he visto, por dentro suelen trabajar a 3V. O la causa podría ser el utilizar un adaptador de RS232 a USB que ya alimente el módulo.

De todas formas, añadiendo una resistencia; si la placa es compatible por ejemplo con Arduino, que trabaja a 3V, no creo que haya ningún problema.

Muchas gracias otra vez por la ayuda.
Tki2000:

--- Cita de: peatonet en 24-12-2014, 20:48 (Miércoles) ---
--- Cita de: Tki2000 en 24-12-2014, 17:46 (Miércoles) ---
--- Cita de: peatonet en 24-12-2014, 01:06 (Miércoles) ---Hola, me presento ya que soy nuevo por aquí; podéis llamarme peatonet.

Estoy trabajando en algunas modificaciones en un router con OpenWRT, y al añadir un puerto serie al router; me doy cuenta de que accede como root directamente sin solicitar password.

Esto me supone un problema, ya que debería conectar los 4 cables a los 4 pines cada vez que quiera acceder por esta vía.

Mi pregunta es si hay alguna forma de obligar al router a que pida password al acceder por esta vía; he estado buscando bastante tiempo, y he dado con esta solución que lo que hace es inhabilitar del todo el puerto serie:

comentar esta linea en /etc/inittab para añadir la siguiente:
#::askfirst:/bin/ash --login
::askfirst:/bin/login

Saludos, y muchas gracias.

--- Fin de la cita ---

Esa solución está bien.
Lo que no entiendo es el problema de la consola serie. Para acceder a la consola serie debes tener acceso físico al router para conectarle el adaptador TTL, y ese acceso físico sólo debe tenerlo el administrador, así que lo normal es que sea root quien intente acceder por consola serie. Dado que el proceso ya implica un acceso físico restringido, el password suele obviarse. La consola serie es como el puerto de administración restringido.
A no ser que instales una consola serie permanente, que sea accesible a todo el público, no debiera haber problema.
Y para acceder a la consola serie sólo hacen falta 3 cables (RX TX y GND). NO HAY QUE CONECTAR VCC o se corre el riesgo de freír al router.
¿Es que tienes algún problema para acceder a la consola por SSH? Por SSH siempre pide password porque la red es un medio público.

--- Fin de la cita ---

En primer lugar, muchas gracias por tu respuesta; la solución que comento no me ha funcionado ya que en vez de pedir password por defecto en el login mediante puerto serie, solo lo deshabilita sin posibilidad alguna de utilizar esa vía.

¿Alguien me podría indicar si hay que cambiar algo más? Tengo entendido que aun que quitemos el /ash --login, un demonio del sistema vuelve a añadirlo automáticamente.

En cuanto a lo del acceso restringido, visto lo visto en muchas empresas (no se en cual trabajas ni a que te dedicas) no creo que los routers estén bien guardados en la mayoría de los sitios. He visto sucursales bancarias con routers en plena mesa, y la IP pública pegada en una etiqueta sobre el router.

La consola serie no es un puerto de administración restringido, solo un bus serial con conector DB9; y pretendo dejarlo instalado permanentemente ya que por lo que vale un módulo conversor de TTL a RS232 me es mas cómodo dejarlo fijo, y hacer con la dremel un agujero a medida en la carcasa.

En cuanto a lo de que no se debe conectar VCC al router porque se puede quemar...no entiendo por que razón; te agradecería que compartas con todos la base para afirmarlo.

Supongo que has utilizado modulos conversores que se alimentan con 5V; y los routers que he visto, por dentro suelen trabajar a 3V. O la causa podría ser el utilizar un adaptador de RS232 a USB que ya alimente el módulo.

De todas formas, añadiendo una resistencia; si la placa es compatible por ejemplo con Arduino, que trabaja a 3V, no creo que haya ningún problema.

Muchas gracias otra vez por la ayuda.

--- Fin de la cita ---

Lo de acceso restringido es porque, evidentemente para acceder al puerto serie hay que tener acceso físico y abrir el router. Si pretendes dejarlo al aire, pues deja de ser restringido.
VCC no hay que conectarlo porque si no estarás intentando alimentar el router desde el USB. A este otro usuario ya se lo advertí y al final se le quemó el router: https://foro.seguridadwireless.net/openwrt/router-tp-link-wdr3600-brickeado-tras-instalar-openwrt/msg319046/#msg319046
Sólo te hace falta conectar GND, RX y TX, ya que las señales se basan en la diferencia de potencial entre el nivel 0 (GND) y el nivel de señal. Si sólo conectaras RX y TX te faltaría el umbral con el que comparar cuándo la señal es 1 o 0, y no recibirías nada (o basura). Si conectas VCC, estarás intentando alimentar el router desde el USB, y si el router no tiene protección de corriente inversa, y el USB tiene "mas fuerza" que el router, simplemente lo freirás, o freirás el USB por alimentarlo desde el USB y desde VCC.
Con respecto a lo del login por consola serie ahora mismo no podría asesorarte. No lo he intentado. Lo único que puedo decirte es que /bin/ash existe como fichero en el router, sin embargo /bin/login no existe como tal, así que debe ser por eso por lo que no funciona el login. Si alguien sabe algo más, por favor, que lo comente.

Por cierto, ¿qué versión de openwrt estás usando? La mía no tiene la directiva
--- Código: ---::[b]askfirst[/b]:/bin/ash --login
--- Fin del código ---
sino
--- Código: ---::[b]askconsole[/b]:/bin/ash --login
--- Fin del código ---
seny:
Buenas, si lo que se necesita es que el router tenga puerto serie y este tiene usb, no es necesario usar el de servicio, se puede instalar kmod-usb-serial y este solo funciona dentro del entorno openwrt que puedes controlar.

Por cierto sobre lo que se comentaba de la seguridad de las oficinas bancarias, por mi zona un gran banco .... cuando se reinicia el cajero aparece arrancando xp..  :'(
saludos
Navegación
Índice de Mensajes
Página Siguiente

Ir a la versión completa