Veilig inloggen op de dreambox 7025 zonder password

Stap 1: Ingrediënten

Eerst downloaden wat we nodig hebben. Da's niet veel:

  • PuTTY. Ik raad aan om de Windows installer te downloaden, dan heb je meteen shortcuts in het start menu.
  • Even installeren dus.

    Stap 2: Inloggen

    Start PuTTY op (vanuit je start menu). PuTTY is een ook prima telnet client, en als je Dreambox nieuw uit de doos komt of net een nieuw image heeft, dan werkt SSH niet omdat je eerst een password moet instellen. Dus gaan we eerst ouderwets telnetten.

    Kies dus "telnet" als type, en geef het adres van je dreambox. Voor je verder gaat is het slim om nu alvast een sessie te maken en deze op te slaan met "save session"

    Kies "Open" en je krijgt de login van je dreambox. Typ "root" om in te loggen.

    Tijd om een password te verzinnen. Doe maar lekker moeilijk, je hoeft het toch nooit meer te typen. Denk ik. Gebruik het passwd commando:

    Sluit dit window niet af, we gaan er mee verder!

    Stap 3: Key maken

    Nu gaan we een sleutel maken. Draai "PuTTYGen" en druk op de Generate knop. Rammel met de muis tot de balk vol is en de nieuwe key verschijnt.

    Druk nu op "Save private key" om onze inlogsleutel te maken. Deze sleutel is alleen voor jezelf en staat dus nooit op de dreambox. Ik sla hem op als C:\MyKey.ppk.

    . De public key hoef je niet op te slaan. Ook dit window nog even open houden voor de volgende stap.

    Stap 4: Key authenticeren

    Nu gaan we de authorized_keys file maken. In de telnet sessie uit stap 2 tikken we in:
    mkdir .ssh
    cat > .ssh/authorized_keys

    De prompt is weg en hij wacht nu op de inhoud voor de file. Ga naar de PuTTYgen window uit stap 3, en kopieer de sleutel

    Ga naar het PuTTY window terug en plak de tekst in, door simpelweg met de rechtse muisknop in het window te klikken. De tekst verschijnt. Druk op ENTER om de regel af te sluiten, en op CTRL-D om het bestand te beeindigen (soms moet ik twee keer CTRL-D drukken).

    Beide windows mag je nu sluiten.

    Stap 5: Eerste sessie

    We starten PuTTY opnieuw, en je kunt de vorige sessie weer laden met de "Load" button. Niet dubbelklikken, en ook niet "Open" gebruiken, dat is voor later. Verander het "Telnet" bolletje nu in "SSH". Druk nog maar eens op "Save" om de session op te slaan voor alle zekerheid.

    Verder willen we inloggen als "root", klik daarvoor in de boom links op Connection/Data, en vul "root" in als auto-login username:

    En dan het klapstuk van de avond: Onder Connection/SSH/Auth moet je de keyfile opgeven die we met PuTTYgen bewaard hebben in stap 3:

    Niet te ongeduldig nu, ga eerst naar de "Session" pagina terug, bovenaan, en druk nu op "Save" om deze instellingen allemaal op te slaan. Druk nu op "Open" (of enter) en dan zou hij van start moeten gaan, zonder nog om een password te vragen. Je krijgt nog wel een melding of je deze host wel vertrouwt. Dat doe je natuurlijk!

    Bonus: Toegang tot je WebInterface en meer

    Via SSH kun je ook "port forwarding" gebruiken. Dit betekent dat je ook andere netwerkverbindingen over deze ene connectie kunt laten meeliften, zonder extra poorten te moeten configureren in de router.

    Als je een SSH sessie voor je dreambox hebt gemaakt, Kijk dan onder Connection/SSH/Tunnels. Hier kun je poorten van je PC naar de dreambox tunnelen, zelfs naar andere machines op het netwerk.

    Voor de webinterface de source en destination intikken en dan op Add klikken. De keuzebolletjes op "local" en "auto" laten staan.
    Source port: 80 -> Destination: localhost:80
    Source port: 8001 -> Destination: localhost:8001
    Source port: 16001 -> Destination: localhost:16001

    Als je na het openen van deze sessie in je browser intikt: http://localhost/ kom je op de webinterface van de dreambox uit. Door het forwarden van poort 8001 kun je ook nog streamen (niet met TV geprobeerd vanwege te weinig bandbreedte, maar radio werkt prima). Op http://localhost:16001/ kun je dan CCcam zien.

    Helemaal geen password meer?

    Nog veiliger? Je kunt nu ook nog zorgen dat dropbear helemaal geen wachtwoord meer pikt. Hiertoe moet je de opties -s -g aan de opstart meegeven, dat doe je door deze in het bestand /etc/default/dropbear te zetten:
    cat > /etc/default/dropbear
    DROPBEAR_EXTRA_ARGS="-s -g"
    (Ctrl+D om te beƫindigen)
    Om dit in werking te laten treden, eerst alle dropbears afschieten (om een of andere reden werkt het commando /etc/init.d/dropbear stop niet) en dan weer opstarten. Eh, tip, doe dit niet vanuit een SSH sessie...
    killall dropbear
    /etc/init.d/dropbear start

    Hierna kun je niet meer inloggen met een wachtwoord, maar nog wel met de keyfile.

    En nu

    Ik heb zelf al deze stappen opnieuw uitgevoerd om deze handleiding te maken. Dus het werkt echt. Nog steeds problemen?

    • Je moet een password maken. Met een blanco password weigert dropbear in te loggen!