Invia per email qualsiasi evento occorso sul mio router

0

Possiedo un router TP-LINK WR841N, a cui tutti i membri della mia famiglia hanno accesso (conoscono la password dell'interfaccia web).

Quello che voglio è che ogni volta che qualcuno accede o una password viene cambiata, mi viene inviata un'e-mail con informazioni dettagliate sull'evento e - se c'è una modifica della password - la nuova password.

Un'altra opzione potrebbe essere una sorta di password principale o un sistema di gestione dei diritti (come con i server Git in cui è possibile aggiungere una chiave SSH in modo che altri possano spingere o tirare senza la necessità di una password).

È possibile tutto questo?

networking  wireless-networking  router  wireless-router 
J.Doe
fonte

Risposte:

0

Posso rispondere alla tua ultima domanda sull'autenticazione della chiave pubblica senza password simile a Git.

Molti punti di accesso Wi-Fi (router wireless) supportano l'autenticazione IEEE 802.1X, spesso come parte di un più ampio set di protocolli di sicurezza noti come WPA2 Enterprise . 802.1X consente credenziali di accesso uniche per utente. In genere queste credenziali vengono controllate da un server di autenticazione separato, che l'AP raggiunge tramite il protocollo RADIUS. IEEE 802.1X e RADIUS si comportano come conduttori per uno qualsiasi dei numerosi metodi di autenticazione specifici, incluso uno denominato EAP-TLS. EAP-TLS consente l'autenticazione dell'utente tramite certificato di chiave pubblica (e ovviamente la chiave privata corrispondente).

Quindi il modo più standard per avere credenziali per utente senza password è impostare WPA2-Enterprise con un server RADIUS e autenticazione EAP-TLS con certificati di chiave pubblica per utente (o per dispositivo).

È un inferno impostare, però.

Spiff
fonte
0

Non è stato dichiarato abbastanza chiaramente, ma presumo che la domanda sia come monitorare o limitare l'accesso alla configurazione del router, non al Wi-Fi.

È possibile tutto questo?

Sì, in generale. Immagino che trucchi del genere possano essere più semplici con firmware alternativo (come DD-WRT , OpenWRT - Ho un po 'di esperienza con quest'ultimo) rispetto a quello originale. Con il firmware alternativo potresti darti accesso ssh lasciando l'interfaccia http alla tua famiglia. Un'interfaccia a riga di comando disponibile tramite ssh ti darà più potenza. Basta ricordare: con un grande potere derivano grandi responsabilità.

C'è una cattura, però. Poiché è raro avere un utente limitato nel sistema operativo del router di casa, potrebbe essere difficile accedere a un utente non root con l'interfaccia http (consentendo così di modificare solo un sottoinsieme di opzioni). A meno che non tagli la tua famiglia dalla configurazione http o trovare (o creare) un firmware con supporto esplicito per utenti limitati essi saranno in grado di modificare la configurazione. Se hai bisogno di una password principale come mezzo di recupero nel caso in cui la tua famiglia dimentica la loro password - va bene. Se hai bisogno di un accesso eterno, non importa quello che fanno - non così facile.

Problemi da considerare:

  1. Il firmware utilizzerà probabilmente la stessa password (cioè la password di root) per l'accesso a http e ssh, quindi per ottenere un esclusivo accesso ssh potrebbe essere necessario eseguire alcune riconfigurazioni (vedere di seguito) o utilizzare l'autenticazione basata su chiave.
  2. Il firmware probabilmente esporrà le impostazioni ssh tramite l'interfaccia http. Potrebbe essere difficile assicurarsi che la tua famiglia non possa interferire con la configurazione di ssh.
  3. L'interfaccia http può esporre un numero maggiore di impostazioni avanzate agli utenti (rispetto al firmware originale, non c'è da meravigliarsi, è il suo lavoro). Queste impostazioni, se utilizzate in modo improprio, possono bloccare il dispositivo.
  4. Potresti scoprire che la CLI richiede più sforzo di apprendimento rispetto alla GUI.

Dovresti fare qualche ricerca per scoprire quale firmware alternativo (se esiste) è giusto per te e il tuo hardware. Usalo a tuo rischio - o no.

Di seguito sono riportati suggerimenti su come aggirare alcuni dei problemi sopra riportati già lavorando OpenWRT . Richiedono alcune conoscenze in ambito Linux.

  1. Abilita ssh, accedi tramite ssh come root.
  2. Crea utente non root direttamente modificando /etc/passwd.
  3. Rendi l'utente un sudoer modificandolo direttamente /etc/sudoers.
  4. Uso passwd per impostare una password per l'utente. Questa sarà la tua password principale; non può essere facilmente modificato tramite l'interfaccia http.
  5. Assicurati di poter accedere tramite ssh come nuovo utente; assicurati che l'utente possa sudo.
  6. dropbear è ssh server, studio le sue opzioni . Avviso RootLogin opzione. Usalo per disabilitare gli accessi ssh come root.

La tua famiglia ha comunque accesso root tramite http. Di default non esiste un modo semplice per eseguire comandi arbitrari (ne ha bisogno luci-app-commands da installare), ma possono:

  • disabilita il server ssh,
  • blocca il server ssh a livello di firewall,
  • eseguire un comando con un cron job.

Questo è più che sufficiente per rendere inutile la tua password principale.

Kamil Maciorowski
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.