LINUX.ORG.RU

Когда к роутеру есть физический доступ, это тебе никак не поможет.

anonymous
()
Ответ на: комментарий от try20

Т.е. при наличии физического доступа никак нельзя запретить сброс пароля root?

Нет, конечно. В любом случае можно флешку перешить.

Если юзер не настолько продвинутый, чтобы Tx/Rx найти или флешку перезалить, то достаточно из OpenWRT убрать всё связанное с failsafe и пр. выключить telnet и вебморду и оставить только ssh доступ по ключу.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

Ну про флешку то понятно, я имею ввиду выключение telnet, хотя бы. Понял, спасибо, погуглю.

try20
() автор топика
Ответ на: комментарий от try20

Роутер нельзя перепрошить только если он физически сдох. Всегда можно залить прошивку напрямую во флеш с помощью программатора. В большинстве случаев флешку даже не надо выпаивать, достаточно прищепки или к ногам припаяться.

Stanson ★★★★★
()
Ответ на: комментарий от try20

Я имею ввиду, что б даже в безопасном режиме не смогли на него зайти без пароля.

Ну так если безопасного режима не будет, то и зайти куда-то в нём будет невозможно.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

Я наверное неправильно выразился.) Я прошиваю роутер с помощью PXE сервера. Т.е. зажимаю кнопку reset, подаю питание, роутер определяется PXE сервером, запускается initfarms-kernel, а дальше уже в веб-морде sysupgrade. Т.е. вопрос в том, будет ли это дальше работать, если не будет безопасного режима?

Мне главное, что б внутри роутера не лазили. И остался вот такой метод прошивки.

try20
() автор топика
Ответ на: комментарий от try20

Это в u-boot надо отключать.

С другой стороны если юзер смог поднять dhcp и tftp, то скорее всего и прищепку он тоже осилит.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

Спасибо. Тогда может быть вы подскажите, как защитить внутренности роутера, что б не лазили в конфигам и т.п., и что б работал такой метод прошивки через PXE сервер под windows, если понадобится перепрошить? Или если не будет безопасного режима, то пикси все равно будет работать? Программатора нет, и судя по всему в нашей организации не предвидится.

try20
() автор топика
Ответ на: комментарий от try20

Тогда может быть вы подскажите, как защитить внутренности роутера, что б не лазили в конфигам и т.п.

Читайте документацию к OpenWRT, там много полезного.

В том числе про то, что в роутерах нет никакого PXE, обычно u-boot при зажатой кнопке просто выставляет себе какой-нибудь фиксированный IP и пытается загрузить по TFTP файл с определённым названием с другого фиксированного IP и запусить его. С PXE тут кроме использования протокола TFTP нет ничего общего.

Stanson ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.