Passwort Super-User

[wolder]

Hallo zusammen,

Ich hab es endlich geschafft, den Router ins Internet zu hängen und von außen drauf zuzugreifen...
Ein zurücksetzen auf "werkseinstellung" hat geholfen.

Zugriff per FTP auf der harddisc funktioniert mit ausgewählten usern.
Jetzt wollte ich den Super-User aktivieren, um eventuell einige Dateien direkt auf nem bestimmten Platz zu legen.

Der eigentliche User hat ja nur Zugriff auf harddisc...

Ein Passwort für den Super-User kann ich aber im Webinterface nicht vergeben, wird aber beim Zugriff benötigt...

Wie lautet dieses und wie bzw. wo kann ich das ändern.

Danke schonmal im Vorraus.

Gruß wolder

[newbiefan]

Ein Passwort für den Super-User kann ich aber im Webinterface nicht vergeben, wird aber beim Zugriff benötigt...
Wie lautet dieses und wie bzw. wo kann ich das ändern
Gruß wolder

Also zuerst: vermeide wenn irgend moeglich einen Zugriff vom Superuser/Admin/Root.
Falls du wirklich einen speziellen Platz fuer bestimmte Anwendungen hast, gibt es eine einfache Moeglichkeit jedem User verschiedene Directories zu geben:
http://www.wl500g.info/showthread.php?t=17674
Unter Punkt 6.) kannst du als local_root jedes Directory angeben.
Den Teil mit dem Webserver kannst du einfach auslassen.
Aber nochmals eine eindringliche Warnung: keinen Zugang fuer den Superuser!


Das Passwort ist das gleiche PW wie der Admin hat, bezw. wie beim Webif-Zugang.

Have fun

[wolder]

Danke!
Hat funktioniert!

Aber ein paar Fragen hab ich noch.
Warum sollte ich den FTP-Server im Web-interface deaktivieren und dann von hand wieder aktivieren?!
Was macht das für einen Sinn?

Ich hab einen User für meine Freunde angelegt. Können gleichzeitig mehrer Benutzer als gleiche User angemeldet sein oder muß ich für jeden meiner Freunde einen eigenen User anlegen?

Gruß wolder

[newbiefan]

Danke!
Hat funktioniert!

Aber ein paar Fragen hab ich noch.
Warum sollte ich den FTP-Server im Web-interface deaktivieren und dann von hand wieder aktivieren?!
Was macht das für einen Sinn?

Ich hab einen User für meine Freunde angelegt. Können gleichzeitig mehrer Benutzer als gleiche User angemeldet sein oder muß ich für jeden meiner Freunde einen eigenen User anlegen?

Gruß wolder

Vsftpd kann man nicht im Webif starten, da dann nur eine Standard-Config moeglich ist und immer die Vorherige ueberschrieben wird. Von Hand wird nichts gestartet, die Start-Script-Dateien in /tmp/local/sbin werden bei jedem Start ausgefuehrt (gilt fuer Olegs FW).
Also das kannst du gerne probieren: aktiviere FTP im Webif und schon sind alle custom-configs weg.

Wieso willst du einen Account fuer viele User? Das macht keinen Sinn. Wenn du nach Wengi installiert hast, kannst du nach o.a. HowTo beliebig viele User anlegen, dann siehst Du z.Bspl. im Logfile /opt/var/log/syslog.log welcher User up od. download durchgefuehrt hat - und das fuer jede Datei! Das ist doch super....

Ob ein Account fuer zahlreiche User sinnvoll funktioniert, kann ich nicht sagen, weil ich es nie versucht habe. Zudem macht das keinen Sinn, denn dann kann ich genau so gut einen anonymen Zugang erlauben. Das macht die ganze Sache komplett unsicher wenn man dann auch noch im ganzen www erreichbar ist. Aber da kommst du selber sehr schnell drauf....wetten?

LG
Newbiefan

[carterb]

Hi,

mehrere Benutzer unter demselben Account funktioniert einwandfrei und macht in meinen Augen auch in einigen wenigen Fällen Sinn.

Habe z.B. mit einigen (ca. 10) Promotionskollegen ein gemeinschaftliches Projekt, für welches ich einen Projekt-Account auf meinem vsftpd-FTP-server eingerichtet habe. Alle müssen auf dasselbe Projektverzeichnis zugreifen. Zehn verschiedene Accounts anzulegen wäre völlig unnötig.

Vsftpd kann man nicht im Webif starten, da dann nur eine Standard-Config moeglich ist und immer die Vorherige ueberschrieben wird. Von Hand wird nichts gestartet, die Start-Script-Dateien in /tmp/local/sbin werden bei jedem Start ausgefuehrt (gilt fuer Olegs FW).
Also das kannst du gerne probieren: aktiviere FTP im Webif und schon sind alle custom-configs weg.

Genau richtig!
Daher vsftpd über ipkg installieren und anschließend über die Config-Files "von Hand" bearbeiten. Gestartet wird er (bei installiertem xinetd) automatisch über xinetd.

[newbiefan]

Habe z.B. mit einigen (ca. 10) Promotionskollegen ein gemeinschaftliches Projekt, für welches ich einen Projekt-Account auf meinem vsftpd-FTP-server eingerichtet habe. Alle müssen auf dasselbe Projektverzeichnis zugreifen. Zehn verschiedene Accounts anzulegen wäre völlig unnötig.

Also genau das halte ich fuer gefaehrlich. Du musst immer vom worst-case ausgehen - was ist wenn Missbrauch betrieben wird? Dann bist du verantwortlich. In keinem Fall wuerde ich 10 Usern den gleichen Account geben. Da kann ich nichts mehr kontrollieren. Die User sind ja in wenigen Sekunden angelegt, das Arbeitsverzeichnis fuer alle kann man ja ganz einfach einstellen oder gar einen eigenen Ordner (nur fuer den jeweiligen User) und einen gemeinsamen fuer Alle. Das macht viel mehr Sinn, alles andere ist doch eine halbe Sache.

Man muss vsftpd nicht mit ipkg installieren, der ist schon in der FW eingebaut. Freilich kann man mit ipkg auch einen weiteren vsftpd installieren, hat aber keine Vorteile - ausgenommen Sonderversionen - die sind aber meist nicht im Repository.
Man sollte lediglich xinetd installieren, das spart Resourcen vom Router, aber auch nur dann, wenn man z.Bspl. auch Samba und ev. weitere Dienste mit xinetd startet.
Den xinet Daemon muss man aber fuer jeden Dienst konfigurieren, das erfordert einiges an Know-How.
Als FW die Ily verwenden http://code.google.com/p/wl500g/

Viel Spass

[carterb]

Hi,

Also genau das halte ich fuer gefaehrlich. Du musst immer vom worst-case ausgehen - was ist wenn Missbrauch betrieben wird? Dann bist du verantwortlich. In keinem Fall wuerde ich 10 Usern den gleichen Account geben. Da kann ich nichts mehr kontrollieren. Die User sind ja in wenigen Sekunden angelegt, das Arbeitsverzeichnis fuer alle kann man ja ganz einfach einstellen oder gar einen eigenen Ordner (nur fuer den jeweiligen User) und einen gemeinsamen fuer Alle. Das macht viel mehr Sinn, alles andere ist doch eine halbe Sache.

Du meinst 10 verschiedene User mit gleichem Home-Verzeichnis,...... Ja, ist auch eine Lösung. Ich brauche in diesem Fall die Sicherheit nicht. Wer in dem Projektverzeichnis Unsinn treibt ist selber Schuld

Man muss vsftpd nicht mit ipkg installieren, der ist schon in der FW eingebaut. Freilich kann man mit ipkg auch einen weiteren vsftpd installieren, hat aber keine Vorteile - ausgenommen Sonderversionen - die sind aber meist nicht im Repository.

Nene, das wäre kein weiterer. Alle Verzeichnisse und Dateien sind identisch. Es käme einem Update gleich. Vorteil der ipkg-Installation für Unerfahrene ist, dass das xinetd-script gleich mit der Installation kommt (oder liegt dieses auch bei der FW-vsftpd-Version schon im passenden Verzeichnis?)

[newbiefan]

Wer in dem Projektverzeichnis Unsinn treibt ist selber Schuld

]
Nur mit einem Unterschied: Es ist dein Router, deshalb bist du verantwortlich. Und du weisst nicht mehr, wer von deinen 10 Usern das User/Passwort weiter gegeben hat.
Oder gar veroeffentlicht hat - denke auch einmal etwas weiter - was passiert wenn einer nicht mehr mitmacht? Bei mir einfach den User loeschen, bei Dir allen Usern
den Zugang verwehren oder gar alle informieren, dass sich die Zugangsdaten aendern?
So kann ich z.Bspl. einem User nur bestimmte Teile/Directories zuordnen. Somit kann ich sogar zwischen aktive und passive User unterscheiden. Das geht alles nicht, wenn ich nur einen User/Passwort fuer 10 Leute habe. Auch die Sicherheit ist einfach nicht mehr gegeben: wo gibt es Accounts, bei denen jeder User die gleichen Zugangsdaten bekommt? Das wuerde ich nicht einmal zu Testzwecken verwenden, es widerspricht jedem Sicherheitsgedanken. Das ist gefaehrlich, denn wenn die Polizei z.Bspl. Kinderpornos oder anderes, verbotenes Material in deinem Netzwerk findest, musst du nachweisen, woher die kommen und dass Du damit nichts zu tun hast - und das geht nur, wenn im Logfile jede einzelne Bewegung (up/down) jedem User zugeordnet werden kann. Denn Mac und IP Adressen kann man faelschen, das hilft nichts.

Nene, das wäre kein weiterer. Alle Verzeichnisse und Dateien sind identisch. Es käme einem Update gleich. Vorteil der ipkg-Installation für Unerfahrene ist, dass das xinetd-script gleich mit der Installation kommt (oder liegt dieses auch bei der FW-vsftpd-Version schon im passenden Verzeichnis?)

Sorry, die Verzeichnisse sind nicht identisch, einer davon liegt auf /opt. Und den Vorteil kann ich auch nicht erkennen, von welchem xinetd-script sprichst Du? Denn mit dem ipkg vsftpd bekommst du keinen Script, nicht einmal einen fuer init.d (start/stop), von xinetd ganz zu schweigen, also muss der User sich alles selbst zusammen schustern und kann ohne einlesen gar nichts machen......In der Standard-FW kann ich den vsftpd im Webif enablen, ganz einfach.....
Darueber hinaus, kann ich den FW vsftpd genauso (wenn man will) ueber init.d oder xinet.d starten, habe aber immer die Moeglichkeit z.Bspl. bei Stick od. HDD Austausch den vsftpd im webif zu starten. Und da alles im Flash liegt, bleiben mir sogar alle Zugangsdaten wie user/passwd bei einem Plattencrash erhalten. Doch damit noch nicht genug: denn der ipkg installierte vsftpd benutzt die Standard-Passwort Datei und stellt nicht auf eine eigene Datei um. Denn wer weiss schon, dass er diese Datei umstellen kann/soll? Auch das ist ein wichtiges Sicherheitsargument fuer den eingebauten vsftpd!
Und die vielfach zitierte Flexibilitaet habe ich auch mit dem FW-vsftpd, dafuer aber im Flash - erst wenn der Router tot ist, geht auch mein vsftpd nicht mehr - das ist Sicherheit!
Das kann mir der ipkg installierte nicht bieten - und wieso sollte ich mir die Platte voll stopfen, wenn ich es im Flash haben kann?
Bei Verwendung eines 8MB Routers sind noch einige MB im Flash frei - warum soll man diese nicht nutzen - so mounte ich z.Bspl. meine ganzen NAS auf den Router und der erledigt mir die Backups, alles im Flash (smbmount).

have fun

[carterb]

Quote:
Wer in dem Projektverzeichnis Unsinn treibt ist selber Schuld
]
Nur mit einem Unterschied: Es ist dein Router, deshalb bist du verantwortlich. Und du weisst nicht mehr, wer von deinen 10 Usern das User/Passwort weiter gegeben hat.
Oder gar veroeffentlicht hat - denke auch einmal etwas weiter - was passiert wenn einer nicht mehr mitmacht? Bei mir einfach den User loeschen, bei Dir allen Usern
den Zugang verwehren oder gar alle informieren, dass sich die Zugangsdaten aendern?
So kann ich z.Bspl. einem User nur bestimmte Teile/Directories zuordnen. Somit kann ich sogar zwischen aktive und passive User unterscheiden. Das geht alles nicht, wenn ich nur einen User/Passwort fuer 10 Leute habe. Auch die Sicherheit ist einfach nicht mehr gegeben: wo gibt es Accounts, bei denen jeder User die gleichen Zugangsdaten bekommt? Das wuerde ich nicht einmal zu Testzwecken verwenden, es widerspricht jedem Sicherheitsgedanken. Das ist gefaehrlich, denn wenn die Polizei z.Bspl. Kinderpornos oder anderes, verbotenes Material in deinem Netzwerk findest, musst du nachweisen, woher die kommen und dass Du damit nichts zu tun hast - und das geht nur, wenn im Logfile jede einzelne Bewegung (up/down) jedem User zugeordnet werden kann. Denn Mac und IP Adressen kann man faelschen, das hilft nichts.

Quote:
Nene, das wäre kein weiterer. Alle Verzeichnisse und Dateien sind identisch. Es käme einem Update gleich. Vorteil der ipkg-Installation für Unerfahrene ist, dass das xinetd-script gleich mit der Installation kommt (oder liegt dieses auch bei der FW-vsftpd-Version schon im passenden Verzeichnis?)
Sorry, die Verzeichnisse sind nicht identisch, einer davon liegt auf /opt. Und den Vorteil kann ich auch nicht erkennen, von welchem xinetd-script sprichst Du? Denn mit dem ipkg vsftpd bekommst du keinen Script, nicht einmal einen fuer init.d (start/stop), von xinetd ganz zu schweigen, also muss der User sich alles selbst zusammen schustern und kann ohne einlesen gar nichts machen......In der Standard-FW kann ich den vsftpd im Webif enablen, ganz einfach.....
Darueber hinaus, kann ich den FW vsftpd genauso (wenn man will) ueber init.d oder xinet.d starten, habe aber immer die Moeglichkeit z.Bspl. bei Stick od. HDD Austausch den vsftpd im webif zu starten. Und da alles im Flash liegt, bleiben mir sogar alle Zugangsdaten wie user/passwd bei einem Plattencrash erhalten. Doch damit noch nicht genug: denn der ipkg installierte vsftpd benutzt die Standard-Passwort Datei und stellt nicht auf eine eigene Datei um. Denn wer weiss schon, dass er diese Datei umstellen kann/soll? Auch das ist ein wichtiges Sicherheitsargument fuer den eingebauten vsftpd!
Und die vielfach zitierte Flexibilitaet habe ich auch mit dem FW-vsftpd, dafuer aber im Flash - erst wenn der Router tot ist, geht auch mein vsftpd nicht mehr - das ist Sicherheit!
Das kann mir der ipkg installierte nicht bieten - und wieso sollte ich mir die Platte voll stopfen, wenn ich es im Flash haben kann?
Bei Verwendung eines 8MB Routers sind noch einige MB im Flash frei - warum soll man diese nicht nutzen - so mounte ich z.Bspl. meine ganzen NAS auf den Router und der erledigt mir die Backups, alles im Flash (smbmount).

have fun

Hi,

ich klinke mich hier aus.
Wird mir zu aufwendig und ich denke es bringt auch nix.

wolder empfehle ich verschiedene User anzulegen (auf Anraten von newbie) und er soll die Version nutzen die er mag.

Schönes WE!

[newbiefan]

Hi,

ich klinke mich hier aus.
Wird mir zu aufwendig und ich denke es bringt auch nix.

wolder empfehle ich verschiedene User anzulegen (auf Anraten von newbie) und er soll die Version nutzen die er mag.

Schönes WE!

Hey Oliver,
eine Linux Security Discussion ist immer aufwendig - da gibt es viele Foren & Newsgroups nur um darueber zu diskutieren.
LG

[wolder]

wolder empfehle ich verschiedene User anzulegen (auf Anraten von newbie) und er soll die Version nutzen die er mag.

Vielen Dank für eure Ausführungen.
Ich denke, ich werde der Empfehlung folgen und für jeden User einen eigenen Account festlegen.

Gruß und schönes Wochenende