Configurar ssh con múltiples usuarios y autenticación con clave pública en OpenWRT 05/01/2011
Posted by drencrom in OpenWRT, ssh.trackback
El primera paso para lograr esto es crear al menos un nuevo usuario en el router. Como el sistema no está pensado para tener más de un usuario el busybox no está compilado con el comando useradd por lo que hay que hacer todo el trabajo manualmente. Primero hay que
agregar una línea en el archivo /etc/groups de esta forma:
grupo:x:1000:
para crear un grupo llamado grupo con gid 1000.
Luego hay que agregar una línea en el archivo /etc/passwd:
usuario:<copiar hash del root>:1000:1000:Nombre Completo:/home/usuario:/bin/ash
donde el segundo parámetro es el hash de la contraseña (OpenWRT no usa shadow) por lo que se puede copiar el del root para que el usuario quede con la misma contraseña que éste. Para cambiarla luego alcanza con ejecutar
# passwd usuario
El uid del usuario se setea como 1000 y se lo configura como perteneciente al grupo 1000 que ya creamos. El home dir del usuario en este caso es /home/usuario por lo que hay que crear este directorio y asignarle los permisos de este nuevo usuario así:
# chown usuario.grupo /home/usuario
Con esto ya debería ser posible acceder por ssh al router con este nuevo usuario y la contraseña elegida.
El siguiente paso es configurar las claves públicas de los usuarios que podrán acceder. Para el caso del root estas claves deben ir al archivo /etc/dropbear/authorized_keys mientras que para cada usuario deben ir en el directorio ~/.ssh/authorized_keys. En el caso de nuestro usuario de ejemplo sería /home/usuario/.ssh/authorized_keys (hay que crear el directorio .ssh)
Por último, si queremos deshabilitar el logueo sin clave pública por seguridad se debe ejecutar los siguientes comandos en el router:
# uci set dropbear.cfg1.PasswordAuth=off
# uci commit dropbear
y luego reiniciar el servicio SSH o el router completo para estar seguros de que la configuración se conserva.
Es importante verificar que el acceso como root con clave pública funciona bien antes de hacer esto dado que si no es posbile que nos quedemos sin poder acceder al router con el usuario root.
Comentarios»
No comments yet — be the first.