Come indurire la mia Buffalo LinkStation Pro?

5

La Buffalo LinkStation Pro Duo che usiamo può essere abbastanza facilmente violato in . La cosa buona è che questo NAS esegue Linux e può quindi essere migliorato nelle funzionalità, ad es. eseguendo anche un servizio NFS o LDAP. La cosa brutta è che chiunque abbia accesso alla LAN può diventare root sul dispositivo - l'ho provato (usando un programma chiamato ACP Commander che in sostanza mi permetteva di eseguire un comando della shell come root alla volta per iniettare la mia chiave SSH pubblica in /root/.ssh/allowed_keys ). Sembra anche possibile far lampeggiare il NAS per utilizzare un firmware modificato, anche se non l'ho verificato. Come posso proteggere la LinkStation per non fornire più questi exploit? Mantenere la capacità di aggiornare il firmware se necessario, preferibilmente senza perdere il mio accesso di root, sarebbe bello ...

    
posta Tobias Kienzler 04.09.2012 - 15:34
fonte

2 risposte

1

Forse mi manca qualcosa qui, ma questo mi sembra abbastanza semplice: usa la lista ACL standard per limitare l'accesso a /root/.ssh/allowed_keys in modo che solo la root abbia accesso e poi inserisci una password strong nel tuo account root e blocca / rimuove tutti i servizi come telnet che consentono di amministrare la macchina senza SSH.

    
risposta data 05.10.2012 - 12:22
fonte
0

Alcuni giorni fa ho apportato alcune modifiche al linkstation che usiamo nella nostra rete aziendale. L'ACP Commander utilizza root come utente e la password predefinita del firmware per accedere. Modificando la password di root, l'ACP Commander non è in grado di accedere già. Un altro modo per farlo sarebbe disabilitare l'autenticazione della password in generale. In tal caso dovresti prenderti cura della tua chiave.

Il sistema in esecuzione sulla LinkStation è BusyBox (kernel Linux personalizzato). Per impedire agli utenti di ottenere i diritti di root è necessario impostare una cosiddetta shell jailed (utenti con diritti limitati). Per un howto dettagliato basta cercarlo. Il seguente link dovrebbe darti un'idea di come è fatto e di cosa si tratta:

link

Dal modo in cui non devi lampeggiare il tuo firmware per ottenere l'accesso come root. Il commander ACP fornisce anche le funzionalità necessarie per "sbloccare" il firmware di il produttore.

    
risposta data 19.11.2012 - 19:15
fonte

Leggi altre domande sui tag