Dropbear 2020.81

“Dropbear is a relatively small SSH 2 server and client. [… …] Dropbear is particularly useful for “embedded”-type Linux (or other Unix) systems, such as wireless routers.” http://matt.ucc.asn.au/dropbear/dropbear.html

Dropbear ist ein SSH Server und Client + SCP. Es gibt zwei Pakete: dropbear Server, Client und scp - sowie ein auf den dropbear Server beschränktes Paket. Dropbear wurde so modifiziert, dass nur root Logins erlaubt sind.

Grundbegriffe

Web-Config

Dropbear Konfiguration

SSH-Zugang mit Passwort (Password-based Authentication)

Das ist die Standardeinstellung im Dropbear. Ohne weitere Einstellungen kann die Fritzbox folgendermaßen über SSH erreicht werden:

Zugang mit OpenSSH

# ssh root@fritz.box
root@fritz.box's password: freetz

Zugang mit Putty

  1. Einstellungen setzen Session/Host Name: fritz.box Session/Port: 22 (bzw. die Einstellung unter PaketeDropbear) Session/Protocol: SSH Connection/Data/Auto-login username: root
  2. Einstellungen speichern (optional) bei SessionSaved Sessions beliebigen Namen (z.B. fritzbox ssh) eingeben und Save drücken. Ab sofort kann dann per Doppelklick auf den Namen die Verbindung aufgebaut werden (oder die Einstellungen mit Load geladen werden)
  3. Open
  4. root@fritz.box's password: fritzbox

Wichtig: Bei den neuen freetz Paketen ist das Standard root Passwort nicht mehr fritzbox, sondern freetz und muss nach dem ersten Einloggen geändert werden.

SSH-Zugang ohne Passwort (Public Key Authentication)

Zugang mit OpenSSH

  1. ssh-keygen, alle Abfragen mit Enter bestätigen
  2. cat ~/.ssh/id_rsa.pub
  3. Ausgabe von cat kopieren Vorsicht: Je nach verwendeter Kommandozeile können Zeilenumbrüche mitkopiert werden, welche mit Hilfe eines Editors (Key in Editor kopieren, Zeilenumbrüche entfernen, Key wieder kopieren) entfernt werden sollten.
  4. Webinterface von Freetz öffnen, nach EinstellungenAuthorized keys wechseln
  5. vorher kopierten Key einfügen, Übernehmen
  6. nun sind die serverseitigen Einstellungen abgeschlossen. Es gibt nun 2 Möglichkeiten zum Einloggen:
    • [Zugang vom selben PC und User, unter dem ssh-keygen ausgeführt worden ist] ssh root@fritz.box
    • [Zugang von anderen PC oder User als ssh-keygen ausgeführt worden ist] Wurde ssh-keygen als user1@pc1 ausgeführt, man möchte jetzt jedoch als user2@pc2 Zugang über SSH auf die Fritzbox erhalten, liegt das Problem darin, dass Dropbear user2@pc2 nicht kennen kann. Deshalb braucht user2 einen Ausweis, den ssh-keygen standardmäßig im Heimatverzeichnis von user1 ~/.ssh/id_rsa ablegt und user2 zugänglich gemacht werden muss. id_rsa kann dann beliebig umbenannt werden. Zum Einloggen über SSH auf die Fritzbox kann nun über ssh -i PfadZumIdentityFile root@fritz.box erfolgen (z.B. ssh -i id_rsa root@fritz.box). Soll es jedoch genauso einfach gehen wie für user1@pc1, muss einfach nur für jede Konstellation (user1@pc2, user2@pc1, …) ssh-keygen genutzt werden um neue Schlüsselpaare zu erzeugen. Die öffentlichen Schlüssel davon (i.d.R. id_rsa.pub) sind dann wieder in Freetz einzutragen. Jeder Schlüssel in eine eigene Zeile. Es können quasi unendlich viele Schlüssel aufgelistet werden.

Zugang mit Putty

  1. puttygen starten
  2. Key/Generate Key Pair
  3. Maus über die leere Fläche bewegen
  4. aus der Box Public Key for pasting into … Key komplett kopieren
  5. Save Private Key, Warnung übergehen und in einem beliebigem Verzeichnis mit beliebigem Namen speichern
  6. Freetz Webinterface öffnen, nach EinstellungenAuthorized keys wechseln
  7. vorher kopierten Key einfügen, Übernehmen
  8. putty starten
  9. Einstellungen setzen Session/Host Name: fritz.box Session/Port: 22 (bzw. die Einstellung unter Pakete, Dropbear) Session/Protocol: SSH Connection/Data/Auto-login username: root Connection/SSH/Auth/Private key file for authentication: Pfad zum vorher gespeichertem Private Key
  10. Einstellungen speichern (optional) bei SessionSaved Sessions beliebigen Namen (z.B. fritzbox ssh) eingeben und Save drücken. Ab sofort kann dann per Doppelklick auf den Namen die Verbindung aufgebaut werden (oder die Einstellungen mit Load geladen werden)
  11. Open

Zugang zur Fritzbox von außerhalb

Um den SSH-Port von außen zu erreichen muß “lediglich” eine Portweiterleitung eingerichtet werden. Leider verbietet mittlerweile das AVM-Webinterface eine Weiterleitung auf die Box selbst. Es gibt aber ein CGI-Paket namens AVM-Firewall, welches diese Restriktionen nicht hat:

  1. Paket CGI/AVM-Firewall mitinstallieren
  2. im Menüpunkt AVM-Firewall im Freetz-Webinterface unter Ansicht “Port Forwarding” auswählen
  3. netterweise ist das was wir wollen schon voreingestellt: tcp 0.0.0.0:22 0.0.0.0:22, also ein Forwarding von Port 22 auf Port 22
  4. die Buttons Hinzufügen und dann Übernehmen anklicken
  5. den dsld, unter AVM-Dienste zu finden, neustarten

Es kann Sinn machen Dropbear auf anderen Ports lauschen zu lassen, z.B. um aus restriktiven Netzen herauszukommen. Dafür bieten sich Port 80(HTTP) und 443(HTTPS) an, da diese am notwendigsten sind. Wenn die auch zu sind, ist Port 53(DNS) noch einen Versuch wert. Es können alternativ oder zusätzlich zur obrigen Regel noch weitere für andere Ports hinzugefügt werden. Hierzu den gewünschten Port in die obere, etwas unglücklich, mit “(Start-)Port” Beschriftete Box eintragen.

Zugang zum Webinterface der Fritzbox oder anderen Diensten im Heimnetz von außerhalb (z.B. hinter einem Proxy)

Achtung, das Tunneln durch Proxies in Firmennetzen kann u.a. zur Abmahnung oder sogar zur Kündigung führen. Entsprechende Betriebsvereinbarungen bzw. Vertragsbestandteile sind unbedingt zu berücksichtigen. Das Befolgen dieser Tipps erfolgt auf eigene Gefahr!

Wer von unterwegs Zugriff auf die Freetz-Oberfläche (Freetz-GUI) bzw. die AVM-Oberfläche (AVM-GUI) benötigt, kann dafür ebenfalls PuTTY verwenden (analog auch andere SSH-Tools).

In Putty trägt man unter Proxy den Proxy ein. Unter Tunnels folgendes (für das Freetz-GUI):

Source Port: 1081 {ein beliebiger, freier, lokaler Port}
Destination: 192.168.178.1:81 {die IP der Box im LAN)

Nach dem Hinzufügen erscheint im PuTTY-Fenster unter “Forwarded Ports”:

L1081 192.168.178.1:81

Entsprechend kann man sich das für das AVM-GUI (Port 80) einrichten:

Source Port: 1080 {ein beliebiger, freier, lokaler Port}
Destination: 192.168.178.1:80 {die IP der Box im LAN)

Nach dem Starten der SSH-Session und dem Login ruft man dann das Freetz-GUI so auf:

http://localhost:1081/

… und das AVM-GUI so:

http://localhost:1080/

Anmerkung:

Damit der Zugriff auf das AVM-GUI (Port 80) funktioniert, muss man den Referer unterbinden. Unter Firefox ist dazu der Wert für network.http.sendRefererHeader unter about:config auf 0 (Null) zu setzen. Inwieweit dies auch für das Freetz-GUI (Port 81) nötig ist, müsste noch ausgiebiger getestet werden. Wer den Referer nicht benötigt, schaltet ihn wie oben beschrieben besser ab.

Es lassen sich auch Weiterleitungen auf beliebige Maschinen und Dienste im Lan schalten. Z.B. Remotedesktopverbindung für eine Maschine im LAN:

Source Port: 3399 {ein beliebiger, freier, lokaler Port}
Destination: 192.168.178.21:3389 (die IP der gewünschten Maschine im LAN; statische DHCP-Leases sind hier vorteilhaft)

im Remotedesktopclient dann:

localhost:3399

Noch mehr Spass bereitet die Tunneloption “Dynamic”: Hier muss nur noch der lokale, frei wählbare Quellport (z.B. 8888) angegeben werden. Solange die SSH-Session offen ist, steht dann ein SOCKS-Proxy auf dem angegebenen Port. Wenn man den Browser oder andere Programme mit diesem Proxy konfiguriert (localhost:8888 in diesem Beispiel), lässt sich so der gesamte Netzverkehr durch den Tunnel schieben. Das wird durch den geringen Upstream üblicher DSL-Anschlüsse zwar etwas langsam, führt den Netzverkehr aber sicher aus einem unsicheren Netz wie z.B. einem freien WLAN heraus.

Zugang zu anderen Rechnern mit der Fritzbox

Anmerkung: In der folgenden Beschreibung wird der Host-Key, der für den Server benötigt wird, gleichzeitig als Benutzer-Key (für den Benutzer root) genutzt. Üblicher wäre es, dafür einen eignen Benutzer-Key anzulegen.

Freetz legt automatisch beim ersten Systemstart einen RSA und DSS private key für die Fritzbox an. Diese liegen in /var/mod/etc/ssh/ in dss_host_key und rsa_host_key (als symlinks zu /tmp/flash). Um nun auf einen anderen Rechner per public Key authentication zugreifen zu können, ist erst einmal der public Key nötig, den man mit # dropbearkey -f /tmp/flash/rsa_host_key -y zB für den RSA key, auf dem Terminal ausgegeben bekommt. Diesen dann in die authorized_keys Datei des anderen Rechners kopieren, wie es bei SSH üblich ist.

Der nachfolgende Befehl kopiert den RSA key auf das Remote-System mit der IP 192.168.178.2 für den User:user01 in die Datei ~/.ssh/authorized_keys

# dropbearkey -f /tmp/flash/rsa_host_key -y | ssh user01@192.168.178.2 'umask 077; cat >> .ssh/authorized_keys'

Für einen Login ohne Passwort Angabe, muss das Keyfile wie im Beispiel als Parameter angegeben werden.

# ssh -i /tmp/flash/rsa_host_key user@machine

Dies liefert dann einen passwortlosen Login auf ‘machine’ wenn dort vorher der public key hin kopiert wurde.

mögliche Anwendung von ssh

mögliche Probleme

Verbindungsaufbau beschleunigen

Wem der Aufbau einer Verbindung zu Dropbear nicht schnell genug geht, hier ein paar Tipps: (Bei meiner Fritzbox 7050 hat es in letzter Zeit 5 bis 6 Sekunden gedauert; Hauptursache sind laut einigen Einträgen auf der Dropbear-Mailingliste wohl die aufwendigen Berechnungen bei Schlüsselaustausch.)

Mit diesen beiden Maßnahmen verbinde ich mich nun (beim zweiten bis n-ten Mal) in Sekundenbruchteilen mit meiner Fritzbox.