Запрет telnet в безопасном режиме opewrt

Когда к роутеру есть физический доступ, это тебе никак не поможет.

Т.е. при наличии физического доступа никак нельзя запретить сброс пароля root?

Т.е. при наличии физического доступа никак нельзя запретить сброс пароля root?

Нет, конечно. В любом случае можно флешку перешить.

Если юзер не настолько продвинутый, чтобы Tx/Rx найти или флешку перезалить, то достаточно из OpenWRT убрать всё связанное с failsafe и пр. выключить telnet и вебморду и оставить только ssh доступ по ключу.

Ну про флешку то понятно, я имею ввиду выключение telnet, хотя бы. Понял, спасибо, погуглю.

А скажите, я потом роутер прошить смогу, если на openwrt полностью запрещу все это?

Я имею ввиду, что б даже в безопасном режиме не смогли на него зайти без пароля.

Роутер нельзя перепрошить только если он физически сдох. Всегда можно залить прошивку напрямую во флеш с помощью программатора. В большинстве случаев флешку даже не надо выпаивать, достаточно прищепки или к ногам припаяться.

Я имею ввиду, что б даже в безопасном режиме не смогли на него зайти без пароля.

Ну так если безопасного режима не будет, то и зайти куда-то в нём будет невозможно.

Я наверное неправильно выразился.) Я прошиваю роутер с помощью PXE сервера. Т.е. зажимаю кнопку reset, подаю питание, роутер определяется PXE сервером, запускается initfarms-kernel, а дальше уже в веб-морде sysupgrade. Т.е. вопрос в том, будет ли это дальше работать, если не будет безопасного режима?

Мне главное, что б внутри роутера не лазили. И остался вот такой метод прошивки.

Это в u-boot надо отключать.

С другой стороны если юзер смог поднять dhcp и tftp, то скорее всего и прищепку он тоже осилит.

Спасибо. Тогда может быть вы подскажите, как защитить внутренности роутера, что б не лазили в конфигам и т.п., и что б работал такой метод прошивки через PXE сервер под windows, если понадобится перепрошить? Или если не будет безопасного режима, то пикси все равно будет работать? Программатора нет, и судя по всему в нашей организации не предвидится.

Тогда может быть вы подскажите, как защитить внутренности роутера, что б не лазили в конфигам и т.п.

Читайте документацию к OpenWRT, там много полезного.

В том числе про то, что в роутерах нет никакого PXE, обычно u-boot при зажатой кнопке просто выставляет себе какой-нибудь фиксированный IP и пытается загрузить по TFTP файл с определённым названием с другого фиксированного IP и запусить его. С PXE тут кроме использования протокола TFTP нет ничего общего.

Хорошо, спасибо, буду читать.