Hallo! Am 2016-02-11 um 09:54 schrieb Jakob Riepler:
[...]Es sollte nicht so schwierig sein, LuCI so umzubauen, dass es eine Passwortänderung forciert, wenn das default Passwort oder ein leeres Passwort gesetzt ist.
Ack! Ist die bessere Lösung.
Der python-Client von letsencrypt wird wohl etwas zu groß für die Endgeräte sein (~12MB uncompressed).> * kein login via http onlyEventuell automatisches requesten eines letsencrypt certs, nach dem die initiale Konfig (IP, Nodename) gemacht wurde und eine Funkfeuerverbindung besteht?
Folgender Vorschlag (Ablauf):a) Dem Router übergibt man beim Initialisieren schlicht (manuell) einen Hashkey, der aus der/einer NodeDB stammt, wo man die Grundparameter bereits beim Anlegen des Nodes/Nodes-Devices angegeben hat. b) Der Router, mittels Autoconfig rudimentären Zugang hat oder sonst mit dem Internet verbunden ist, holt sich die Config mittels ssh/wget-ssl/curl von einem Webserver unter dieser Url. (ssh-keys, olsr*-Configs, etc.).
Dabei zu beachten:Run-parts sollte dafür Sorge tragen, dass auch lokale Konfigurationen berücksichtigt werden. Für Olsr* kann auf uci/uci verzichtet werden, wenn die Konfiguration zentral erstellt wird. Da olsrv2 mittels oonf-Package ausgeliefert wird, ist Aktualität gewährleistet, und das Node-Tool sollte nur auf die aktuellste Version Rücksicht nehmen.
c) Für Letsencrypt wäre beim Abholen des Zertifikats mittels "manual"-Methode das zeitnahe Einrichten des Tokens unter ".well-known/acme-challenge/" erreichbar unter dem Hostnamen des Routers erforderlich, d.h. es ist ein mehrstufiger Prozess, bei dem eine NodeDB den Request koordiniert vermitteln muss. Gefahr 1: die Zertifikate lägen in diesem Fall wohl auf dem Server der NodeDB; Gefahr 2: Limits bei den Zertifikaten in der Letsencrypt-Beta-Phase, wenn viele Devices betrieben werden. Eine Möglichkeit wäre die Remote-Nutzung von Letsencrypt und ein Reverse-Proxy für den Pfad .well-known/acme-challenge/ auf den NodeDB-Server. Erfordert den Wechsel auf einen anderen Webserver am Router (lighttpd o.ä.) - aber das wäre auch ein Vorteil für manche User, die für Homecontrol-Applikationen sonst Portforwards nutzen oder zur Einbindung von (passwortgeschützten) Status-Anzeigen z.B. im Falle von 3g-Internet-Tunnel-Nodes (Modemstatus, Datenvolumenstatus).
[...] LG Jakob [...]
Eventuell wollt Ihr auch "socat" in die Firmware einbauen. Diese netcat-Alternative kann sehr vielseitig eingesetzt werden und spart womöglich Platz durch Verzicht auf andere Tools.
LG Erich
<<attachment: erich.vcf>>
-- Discuss mailing list [email protected] https://lists.funkfeuer.at/mailman/listinfo/discuss
