FF-Nordhessen Tutorial: SSH-Keys auf Freifunkroutern hinterlegen

Wie auch andere Linux-Systeme bietet auch der Freifunk-Router die Möglichkeit, sich per Benutzername root und Kennwort zu authentifizieren. Benutzername und Kennwort ist schon nicht schlecht, wenn man ein entsprechend komplexes Kennwort erzeugt und verwendet und dieses sich dann auch noch gut merken kann, oder einen entsprechenden Passwort-Safe nutzt.

Die deutlich bessere und sicherere Alternative bietet die Verwendung von ssh-Keys. Dies ist ein sog. asymmetrischer Schlüssel, der aus einem privaten und einem öffentlichen Schlüssel (Public Key) besteht.

Wie ihr einen solchen Key erstellt und was ihr dafür braucht, findet ihr hier.

Den Public-Key könnt ihr entsprechend auf euren Freifunk-Routern oder auch sonstigen SSH-fähigen Geräten hinterlegen. Dies geht am einfachsten während des Firmware-Updates im Installations-Assistenten.

Dazu könnt ihr einfach wie folgt vorgehen:

Im Config-Mode eures Freifunk-Routers könnt ihr in den Experten-Modus wechseln und dort unter Remotezugriff die jeweiligen SSH-Keys einfügen. Bitte immer nur einen Key pro Zeile…

Oder alternativ könnt ihr die SSH-Keys auch im Nachgang installieren, wenn ihr per root User angemeldet seid auf eurem Freifunk-Router. Dazu bitte einfach die folgenden Schritte durchführen:

1. Login per ssh mit dem Root-User und dem bei der Installation vergebenen Kennwort über ein entsprechendes Terminalprogramm, wie z.B: Putty (www.putty.org). Dies geht entweder nach einem Reset über die 192.168.1.1 auf dem eth1-Interface, oder aber per IPv6-Adresse des Routers (siehe Eintrag auf der Map) aus dem Freifunk-Netzes der entsprechenden Community..
2. Ihr wechselt in das Verzeichnis /etc/dropbear/ mit dem folgenden Befehl:
   

root@FF-BadArolsen-TEST-001:~#cd /etc/dropbear/
root@FF-BadArolsen-TEST-001:/etc/dropbear# 

dann könnt ihr euch über den ls-Befehl anzeigen lassen, welche Datein in dem Verzeichnis liegen. Ihr benötigt die authorized_keys -Datei:

root@FF-BadArolsen-TEST-001:/etc/dropbear# ls
authorized_keys        dropbear_rsa_host_key

Diese Datei öffnet ihr dann einfach im Texteditor vi mittels:

root@FF-BadArolsen-TEST-001:/etc/dropbear# vi authorized_keys

Dort findet ihr dann pro Zeile einen SSH-Key vor (bitte nur den Public-Key).

Es empfiehlt sich dringend hinter die abschließenden == einen Kommentar zu schrieben, wem diese Key gehört, damit man im Zweifel nachvollziehen kann, wer alles noch Zugriff auf das Gerät hat.

Durch Drücken der Taste “i” könnt ihr in diese Datei neue Zeilen einfügen, wenn ihr dies am Ende der letzten Zeile drück und dann eine neue Zeile mittels der “return”-Taste einfügt. Wenn ihr jetzt den Public Key in der Zwischenablage habt, weil ihr diesen vorher schon im Editor geöffnet hattet, könnt ihr jetzt einfach per rechtem Mausklick euren Public-Key ergänzen.

Falls ihr ein Config-Backup oder Support durch uns haben wollt für Eure Nodes, dann fügt bitte den folgenden SSH-Key in Euren Geräten hinzu:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQDu6hqF6XZZchwCsbMn7qG5Wpf/ti2TpFhaWn6MBRLWa7QgcoeJVQ6g0RsvHAOx3sEHFZqw6kChodahixcdyMjPVU3iiuiRovyDwsJbRO9VYpY32Dwmufc2sNsAUR8AkA6bPpd7WhP3d/XDgVBrImqDwGUVK0DpMh/BBgEEnZS+/a5cMrH9nvKfQm0pR8DUnT+xusvr7FMR9PJ7dSXAdfVBVqqtE+rXbgYilAzkexEXarRwERT/fJPRvTETXOk2xkvR0OhHbqp+J0OzGPOnIp6SXCoh9vTe00IewXu+hPN8h3iZG57Avy52cblRniY+x3c0JbSaRq/KVMgLuZwl0pk4xusMrmeWOICYPdY1+cv7eBEP/HzrjRwfvQluPthqP/+eihdbBOUoqY36j8LerQ/hUlNQSvxM8hWGU6CASQH1rlA8xjhhWlqcDP9eoudPr2t5o3JaZGNpx3KQb1nWyrtMn3DvuxWMyPcWd7oOUkrB0yWd6HMCVq6Wzkj89pc6xslvtkJuK+QJRwQBoAfhLhkVv38Bq5k0t1len1MzNrNZPK8e7KwhdG1cusZEa0DFbfMii4nA/EWM8RCxxBDAcPMzAOPk3D60WoOgE1yai6KCTD0sYG5YcUC2cpz7To58glK9YejEtnvcAJ6YK/kVeaVCBBSzxKrVnrZ+AL43LyCB/Q== Freifunk Nordhessen Backup-Key

Um eure Änderungen abzuspeichern, könnt ihr einmal ESC + :wq drücken. Damit speichert ihr eure Änderungen an der Datei und schließt den vi.

Damit die Keys aktiv sind, muss einmal der SSH-Daemon neugestartet werden, das macht ihr am einfachsten über einen Reboot des Routers.

reboot

Danach solltet ihr Euch per SSH mit dem hinterlegten Key anmelden können.