Enviar por e-mail qualquer evento que ocorra no meu roteador

Navegue suas respostas
0

Eu possuo um roteador TP-LINK WR841N, ao qual todos os membros da minha família têm acesso (eles sabem a senha da interface web).

O que eu quero é que toda vez que alguém fizer login ou uma senha for alterada, um e-mail será enviado a mim com informações detalhadas sobre o evento e, se houver uma alteração de senha, a nova senha.

Outra opção seria um tipo de senha mestra ou um sistema de gerenciamento de direitos (como com os servidores Git, onde você pode adicionar uma chave SSH para que os outros possam empurrar ou puxar sem a necessidade de uma senha).

Tudo isso é possível?

    
por J.Doe 26.06.2016 / 13:28

2 respostas

0

Eu posso responder sua última pergunta sobre a autenticação de chave pública sem senha do Git.

Muitos pontos de acesso Wi-Fi (roteadores sem fio) suportam a autenticação IEEE 802.1X, geralmente como parte de um conjunto maior de protocolos de segurança conhecidos como WPA2 Enterprise . O 802.1X permite credenciais de login exclusivas por usuário. Normalmente, essas credenciais são verificadas por um servidor de autenticação separado, que o AP alcança através do protocolo RADIUS. O IEEE 802.1X e o RADIUS agem como condutores para qualquer um dos vários métodos de autenticação específicos, incluindo um chamado EAP-TLS. O EAP-TLS permite a autenticação do usuário via certificado de chave pública (e a chave privada correspondente, é claro).

Portanto, a maneira mais baseada em padrões de ter credenciais sem senha é configurar o WPA2-Enterprise com um servidor RADIUS e a autenticação EAP-TLS com certificados de chave pública por usuário (ou por dispositivo).

É um inferno montar, no entanto.

    
por 26.06.2016 / 20:44
0

Não foi definido com clareza suficiente, mas suponho que a questão é como monitorar ou limitar o acesso à configuração do roteador, e não ao Wi-Fi.

Is any of this possible?

Sim, em geral. Acho que truques como esse podem ser mais fáceis com o firmware alternativo (como dd-wrt , OpenWRT - I tem alguma experiência com este último) do que com o original. Com o firmware alternativo, você pode se dar acesso ssh enquanto deixa a interface http para sua família. Uma interface de linha de comando disponível via ssh lhe dará mais poder. Basta lembrar: com grande poder, vem uma grande responsabilidade.

No entanto, existe um problema. Como é muito raro ter um usuário limitado no sistema operacional do roteador doméstico, pode ser difícil fazer login de um usuário não-root com interface http (permitindo que eles alterar apenas um subconjunto de opções). A menos que você corte sua família da configuração http ou encontre (ou crie) um firmware com suporte explícito para usuários limitados eles poderão alterar sua configuração. Se você precisar de um senha mestra como meio de recuperação caso sua família esqueça sua senha - tudo bem. Se você precisa de acesso eterno, não importa o que faça - não é tão fácil.

Questões a considerar:

  1. O firmware provavelmente usará a mesma senha (ou seja, senha de root) para acesso http e ssh, então para ganhar um acesso exclusivo ssh você pode precisar fazer alguma reconfiguração (veja abaixo) ou usar autenticação baseada em chaves.
  2. O firmware provavelmente exporá as configurações do ssh via interface http. Pode ser complicado certificar-se de que sua família não possa mexer na configuração do seu ssh.
  3. A interface http pode expor um número maior de configurações avançadas aos usuários (em comparação com o firmware original; não é de admirar, é o seu trabalho). Essas configurações, embora mal usadas, podem bloquear o dispositivo.
  4. Você pode descobrir que o CLI exige mais esforço de aprendizado do que a GUI.

Você deve fazer alguma pesquisa para saber qual firmware alternativo (se houver) é ideal para você e seu hardware. Use-o por sua conta e risco - ou não o faça.

Abaixo, há dicas de como você pode contornar alguns dos problemas acima, já trabalhando em OpenWRT . Eles exigem algum conhecimento no campo Linux.

  1. Ativar ssh, faça login via ssh como root .
  2. Crie um usuário não raiz editando diretamente o /etc/passwd .
  3. Torne o usuário um sudoer editando diretamente /etc/sudoers .
  4. Use passwd para definir uma senha para o usuário. Esta será sua senha mestra; não pode ser facilmente alterado através da interface http.
  5. Certifique-se de que você pode fazer login via ssh como o novo usuário; verifique se o usuário pode sudo .
  6. Dropbear é o servidor ssh, estude suas opções . Observe a opção RootLogin . Use-o para desabilitar logins ssh como root.

Ainda assim, sua família tem acesso root via http. Por padrão, não existe uma maneira fácil de executar comandos arbitrários (é necessário que luci-app-commands esteja instalado), mas eles podem:

  • desativar o servidor ssh,
  • bloqueia o servidor ssh no nível do firewall,
  • executa um comando com um cron job.

Isso é mais que suficiente para tornar sua senha mestra inútil.

    
por 27.06.2016 / 15:07

Tags

As abas do Chrome continuam batendo PC trava aleatoriamente ao carregar