OpenWrt系统安全改进

*******************************************************
使能默认密码
 修改package/base-files/files/etc/shadow
 abc@123! ——  root:$1$4gX5RHpw$ZNwMNLS6.rr.w9tUWFPWh.:16325:0:99999:7:::
效果:
 web interface和ssh均需要输入密码才能登录;
 telnet被禁止

*******************************************************
使能密码强度检测
 修改busybox-1.19.4/loginutils/passwd.c
效果:
 不满足密码要求的root密码设置被拒绝

*******************************************************
使能密码检查
 1 make menuconfig 、base system、 busybox
  enable login
 2 修改/etc/inittab
  ::askconsole:/bin/ash --login   -->    ::askconsole:/bin/login
效果:
 使用串口进入系统需要输入密码

*******************************************************
禁用ssh
 1 删除rc.d/S50dropbear
  The remote system refused the connection.
 2 或者,修改etc/config/dropbear
 config dropbear
         option Port '22'
         option PasswordAuth 'on'
         option RootPasswordAuth 'off'
效果:
 web interface无法使用密码登陆

*******************************************************
web interface使用adminitrator/user登陆(禁用root)
 多用户
  https://forum.openwrt.org/viewtopic.php?pid=163013#p163013
效果:
 web interface可以使用root以外的用户登录,但是目前权限没有控制(跟root一样)
 权限控制
  https://forum.openwrt.org/viewtopic.php?id=16900

*******************************************************
启用多用户
 make menuconfig 、base system、 busybox
 make menuconfig 、Utilities、shadow
 使用useradd/passwd添加的用户,此时没有大部分权限
 ?daemon --- daemon:x:1:1:daemon:/home/daemon:/bin/false不能登录,要将/bin/false删掉
效果:
 image大小为4587524,以前是4390916
 可以使用非root用户登录OpenWrt

*******************************************************
NEXT:

为非root用户赋予有限权限;

使用非root用户启动进程。

你可能感兴趣的:(OpenWRT)