Ftp kennwort bei dreambox one

  • Alles läuft ,supi . nur nach gestern den reinfall drau ich mich nicht mir Newnigma 2 drauf zu machen habe wieder die original software drauf, hätte eigentlich lieber newnigma2 drauf 😪☺️

  • Was NN2 mit dem Passwort macht, hat im alle fälle nichts hier im Board zu suchen!

    NN2 bringt in diesem fall, ein echte durcheinander für jede user durch das setzen ihre eigene Passwort. :pouting_face:


    Standardmäßig muss jetzt bei OE2.6 über dem GUI ein Passwort (oder auch kein) gesetzt werden, um Zugang auf ftp/sftp zur bekommen.

    E2 Box: Two, One, DM 8000, DM7080HD, DM 7025(+), DM 7020HD(v2), DM9x0, DM820HD, DM 800SE(v2), DM 800HD, DM52x, DM500HD(v2)
    E1 Box: DM 7020, DM 7000, DM 5620-S, TRIAX 272-S, DM 600PVR, DM 500+, DM 500-S

    Sonstiges: DM100, DM Tastatur, Logi K600 BT Tastatur
    Sat: WaveFrontier T90 23.5E <=> 30.0W

  • Cepheus62 NN2 setzt kein eigenes Passwort. Dort wurde lediglich PermitRootLogin auf No gesetzt für SSH und vergleichbar für FTP. Zusätzlich wurde ein eigener User angelegt und mit sudo Rechten versehen. Das kommt schon sehr nah an normale Security Best-Practice ran.



    Im Standardimage wurde jetzt (nach Jahren ohne Passwort) auf einmal ein Standardpasswort gesetzt...

    Warum? Weiß der Teufel. Aus Sicherheitsgründen kann es nicht gewesen sein, denn ein Standardpasswort reduziert das Risiko nur marginal gegenüber gar keinem Passwort (was ja auch als ein Standardpassowrt mit der Länge 0 gesehen werden kann :D).

    Bei Cisco kann man seit Jahren beobachten wie viel Probleme so Standardpasswörter machen.


    [EDIT]

    Ich muss mich korrigieren. Oben geschriebenes basierte nur auf den Antworten, die ich hier und im NN2 Forum dazu gelesen hatte. Ich habe jetzt mal in die Images geguckt und kann in den NN2 Configs kein PermitRootLogin No finden. Da muss noch was anderes gesetzt worden sein. Klar ist aber auf jeden Fall, dass root ohne ein Passwort gesetzt wurde, aber ein User newnigma2 ein Default Passwort bekommen hat. Siehe Auszug aus /etc/shadow im NN2:

    Code
    root::18067:0:99999:7:::
    newnigma2:$6$0/x46/6a$1a0PnS6QBhar8d57ansaudF87.p/tkcwvNirxHzs2t7CcE73u7nwRjOtauGydK802DF3mssjdKHIFLwSA1YJP.:18067:0:99999:7:::


    Im Dream Image wurde dagegen ein root Login verboten, weshalb ich die Info mit dem Standardpasswort oben, falsch erscheint.

    Siehe /etc/shadow im Dream Image:

    Code
    root:*:18066:0:99999:7:::


    Laut Doku (https://linux.die.net/man/5/shadow) bewirkt das * im zweiten Bereich, dass gar kein Login möglich sein sollte:

    Zitat

    If the password field contains some string that is not a valid result of crypt(3), for instance ! or *, the user will not be able to use a unix password to log in (but the user may log in the system by other means).


    [/EDIT]



    [EDIT2]

    Ah ok. "DreamOne" ist das Standardpasswort für den NN2 User:

    Code
    root@dm920:~# python2 -c 'import crypt, os,base64; print crypt.crypt("DreamOne", "$6$"+"0/x46/6a"+"$")'
    $6$0/x46/6a$1a0PnS6QBhar8d57ansaudF87.p/tkcwvNirxHzs2t7CcE73u7nwRjOtauGydK802DF3mssjdKHIFLwSA1YJP.
    root@dm920:~#

    [/EDIT2]



    Ich würde mir ja wünschen, dass der Ansatz vom NN2 übernommen und radikal weiterentwickelt wird.

    Sprich:

    1. Erzwungener Passwort Wechsel (über einen PC, mit der Fernbedienung ist das Mist) bei der ersten Netzwerkverbindung (z.B. als einzige Option im Webinterface oder über eine spezielle URL per QR Code auf dem Bildschirm)

    2. Gar kein Root Login mehr! Nirgends, insbesondere nicht im Webinterface (dort müsste man dann aber konsequenterweise auch alle System-Calls und Zugriffe auf das Filesystem passend einschränken)

    3. Keine unverschlüsselten Protokolle mehr nutzen (Telnet, FTP, HTTP)


    Wie so oft muss das auch gar nicht von Dream kommen. Ein Image-Team kann das selber machen. Punkt 1 kann man sogar als Plugin umsetzen (Netzwerk mit z.B. iptables komplett kappen und aus dem Plugin dann erst nach dem Passwort Wechsel freigeben).


    Warum ich das jetzt und hier schreibe:

    Selbst die kleine Änderung vom NN2 Team oder das neue Standardpasswort erfordern ja neue HowTos und evtl. Anpassungen an Tools. Wenn man schon damit anfängt, sollte man es auch richtig machen. Und meine 3 kleinen Ideen sind ja auch nur ein Anfang... Dass alles in enigma2 inkl. Plugins (und somit insbesondere das Webinterface) generell mit su Rechten läuft, wäre auch eine große Baustelle.

    P.S.: Das alles sind Ideen, die ich schon lange mal selbst angehen wollte. Da ich aktuell überhaupt gar keine Zeit habe so etwas zu implementieren, wollte ich es jetzt, wo der Zeitpunkt günstig erscheint, einfach mal los werden :smiling_face:

    so long
    m0rphU

    3 Mal editiert, zuletzt von m0rphU ()

  • Hmpf.... Ja und nein!


    Wenn Menschen sich häufig ein neues Passwort merken müssen, führt das zu trivialen Passwörtern bzw nur marginalen Änderungen. Darauf zielt die Empfehlung von Microsoft (und auch dem NIST, BSI, ANSSI, ENISA, etc pp) ab.


    Das hat aber doch gar nichts mit einer erzwungenen, einmaligen (!) Änderung von Factory Passwörtern zu tun. Das ist und bleibt ein Muss und sollte so gut es geht von der Software und dem Hersteller unterstützt werden!

    so long
    m0rphU