Não foi definido com clareza suficiente, mas suponho que a questão é como monitorar ou limitar o acesso à configuração do roteador, e não ao Wi-Fi.
Is any of this possible?
Sim, em geral. Acho que truques como esse podem ser mais fáceis com o firmware alternativo (como dd-wrt , OpenWRT - I tem alguma experiência com este último) do que com o original. Com o firmware alternativo, você pode se dar acesso ssh enquanto deixa a interface http para sua família. Uma interface de linha de comando disponível via ssh lhe dará mais poder. Basta lembrar: com grande poder, vem uma grande responsabilidade.
No entanto, existe um problema. Como é muito raro ter um usuário limitado no sistema operacional do roteador doméstico, pode ser difícil fazer login de um usuário não-root com interface http (permitindo que eles alterar apenas um subconjunto de opções). A menos que você corte sua família da configuração http ou encontre (ou crie) um firmware com suporte explícito para usuários limitados eles poderão alterar sua configuração. Se você precisar de um senha mestra como meio de recuperação caso sua família esqueça sua senha - tudo bem. Se você precisa de acesso eterno, não importa o que faça - não é tão fácil.
Questões a considerar:
- O firmware provavelmente usará a mesma senha (ou seja, senha de root) para acesso http e ssh, então para ganhar um acesso exclusivo ssh você pode precisar fazer alguma reconfiguração (veja abaixo) ou usar autenticação baseada em chaves.
- O firmware provavelmente exporá as configurações do ssh via interface http. Pode ser complicado certificar-se de que sua família não possa mexer na configuração do seu ssh.
- A interface http pode expor um número maior de configurações avançadas aos usuários (em comparação com o firmware original; não é de admirar, é o seu trabalho). Essas configurações, embora mal usadas, podem bloquear o dispositivo.
- Você pode descobrir que o CLI exige mais esforço de aprendizado do que a GUI.
Você deve fazer alguma pesquisa para saber qual firmware alternativo (se houver) é ideal para você e seu hardware. Use-o por sua conta e risco - ou não o faça.
Abaixo, há dicas de como você pode contornar alguns dos problemas acima, já trabalhando em OpenWRT . Eles exigem algum conhecimento no campo Linux.
- Ativar ssh, faça login via ssh como
root
.
- Crie um usuário não raiz editando diretamente o
/etc/passwd
.
- Torne o usuário um sudoer editando diretamente
/etc/sudoers
.
- Use
passwd
para definir uma senha para o usuário. Esta será sua senha mestra; não pode ser facilmente alterado através da interface http.
- Certifique-se de que você pode fazer login via ssh como o novo usuário; verifique se o usuário pode
sudo
.
-
Dropbear é o servidor ssh, estude suas opções . Observe a opção
RootLogin
. Use-o para desabilitar logins ssh como root.
Ainda assim, sua família tem acesso root via http. Por padrão, não existe uma maneira fácil de executar comandos arbitrários (é necessário que luci-app-commands
esteja instalado), mas eles podem:
- desativar o servidor ssh,
- bloqueia o servidor ssh no nível do firewall,
- executa um comando com um cron job.
Isso é mais que suficiente para tornar sua senha mestra inútil.