OpenWrt系统安全改进<三> --- Web UI密码错误控制

最新推荐文章于 2024-04-30 19:55:53 发布
最新推荐文章于 2024-04-30 19:55:53 发布
阅读量4.8k 收藏
点赞数
分类专栏: OpenWRT 文章标签: openwrt luci web lua
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/teddy99999/article/details/41846023
版权 
OpenWrt系统安全改进<二>中所做的尝试,是为了增强用户登录的鉴权机制(密码输错三次就禁用用户一段时间),PAM可以实现对用户登录的控制,但是进一步操作中发现WebUI的登录并没有支持PAM,前功尽弃......
了解了一下OpenWrt的luci机制,参见http://www.360doc.com/content/14/0312/20/1964482_360072189.shtml,简单来说,就是使用uhttpd来解析http报文,一些具体的操作都由lua来实现。
本来是想修改uhttpd来实现这个功能,但是抓包看了一下,uhttpd并不关心luc程序的操作结果,虽然能够识别到用户登录,但是要获取密码认证结果却并不方便,于是只好硬着头皮上lua。
 
下面是最基本的实现,多用户,信息安全都没有考虑,以后可以改进一下。
另外,密码输错三次后,用户继续输入,返回在web页面的信息还是密码错误而不是用户被限制,也需要修改。

 

FORBIDEN_EXPIRE = 180
MAX_TRY = 3

local UserErrorCount = 0
local UserForbidenTime = 0

function writeErrCount(username,count)
    os.execute("echo %s > /var/ErrCount" % count)
end

function readErrCount(username)
	if fs.access("/var/ErrCount") then
		return (tonumber(fs.readfile("/var/ErrCount")))
	else 
		return 0
	end
end

function writeForbidenTime(username,ftime)
    os.execute("echo %s > /var/ForbidenTime" % ftime)
end

function readForbidenTime(username)
	if fs.access("/var/ForbidenTime") then
		return (tonumber(fs.readfile("/var/ForbidenTime")))
	else 
		return 0
	end
end

function fnsrDbg(string)
	os.execute("echo %s >> /luaDbg" % string)
end

function isForbidenExpired(username)
	curTime = uptime()
	UserForbidenTime = readForbidenTime(username)

	if curTime - UserForbidenTime > FORBIDEN_EXPIRE then
		fnsrDbg("Forbiden Expired")
		return true
	else
		fnsrDbg("Forbiden Not Expired")
		return false
	end

end

function isAllowed(username)
	if readForbidenTime(username) == 0 then
		fnsrDbg("UserAllowed")
		return true
	else
		if isForbidenExpired(username) then
			writeForbidenTime(username,0)
			fnsrDbg("UserAllowed After ForbidenExpired")
			return true
		end
	end

	fnsrDbg("User Not Allowed")
	return false
end

function updateAllowed(username,validate)
	if validate then
		writeErrCount(username,0)
	else
		UserErrorCount = readErrCount(username)
		UserErrorCount = UserErrorCount + 1
		writeErrCount(username,UserErrorCount)

		if UserErrorCount == MAX_TRY then
			UserAllowed = false
			writeErrCount(username,0)
			writeForbidenTime(username,uptime())
		end
	end
end

push0529
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenWRT配置 -- 修改用户名、密码以及网页用户名的修改
一座明亮的小塔
06-29 2万+
openwrt系统默认的用户名是root,并且web页登录页面也默认是填充用户名root的状态,所以在考虑到安全性以及自己的个性,所以需要自己制定自己喜欢的用户名和密码。 一、修改密码 1、在openwrt开发板上密码 使用指令 passwd,直接输入密码即可完成密码重置。 2、修改源码实现实现密码的永久指定 现在开发板上使用指令 passwd 修改密码,然后将/etc/shadow 文件里面的内容拷贝到源码文件 /openwrt/package/base-files/files/etc/sh.
OpenWrt系统安全改进<二> --- 使能PAM
teddy99999的专栏
12-04 4358
使能BUSYBOX的PAM 1 修改.config make menuconfig 、base system、 busybox、 Login ...、Support for PAM 2 修改package/busybox下的Makefile diff --git a/package/utils/busybox/Makefile b/package/utils/busybox/Mak
Ollama管理本地开源大模型,用Open WebUI访问Ollama接口
南七小僧的学海无涯
04-30 1872
在前文中,老苏留了个尾巴,限于篇幅只是提了一下Open WebUI,有网友留言说自己安装没搞定,今天我们来补上Open WebUI是针对LLM的用户友好的WebUI,支持的LLM运行程序包括Ollama和OpenAI兼容的API。Open WebUI系统旨在简化(您的浏览器)和Ollama API之间的交互。此设计的核心是后端,可增强安全性并解决CORS问题。外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传Open WebUI 功能演示【说明】:因为老苏的小机器不支持。
OpenWRT-Wifidog之利用Luci认证
fishmai的专栏
02-09 7924
OpenWRT下实现Portal认证(WEB认证) 介绍了OpenWRT环境下实现Wifidog认证的办法,文末我曾经写道“有的人可能还会问,能不能把这些脚本集成到路由器当中,我的回答是能,只要你的脚本的功能不多,问题应该不大,但是这么做的风险比较大,路由的负载比较高,导致路由的运行会很不稳定,甚至经常死机,这也是笔者亲身实践的结果,所以笔者不建议这么做”。 折腾间突然冒出一个想法,
openwrt18.06 luci页面配置回滚机制
qq_26202991的博客
09-03 3599
最近工作中发现openwrt存在一个回滚机制,通过luci页面对可能导致失联的配置,如更改LAN口ip、修改WIFI名称和密码等,在设置后会弹出一个30秒倒计时的窗口,需要等待30秒浏览器自动刷新后弹出一个确认框,点击后才会使新配置生效,如在等待期间关闭浏览器窗口或者刷新了,系统会认为你引入了一个错误配置,会自动回滚旧配置,从而导致想更改的新配置失效! github中关于该机制的解释...
OpenWRT 系统修改密码失败解决方法
gj333的专栏
11-20 896
mount 可以看 /dev/root 挂的是只读模式。最后在GPT 的提示下。先修复系统,再重启,OK解决。文件系统挂载成了只读模式,重启无效。
20200328.openwrt-x86-64-combined-squashfs.img_openwrt-x86-64_ope
10-01
标题中的"20200328.openwrt-x86-64-combined-squashfs.img"指的是OpenWrt项目在2020年3月28日发布的针对x86-64架构的固件镜像文件。OpenWrt是一个高度模块化、完全可配置的嵌入式Linux发行版,主要用于路由器和其他...
OpenWrt编译工具链】mipsel-openwrt-linux-gcc
04-09
OpenWrt-Toolchain-ramips-mt7688_gcc-4.8-linaro_uClibc-0.9.33.2.Linux-x86_64
openwrt-x86-64-nas-combined-squashfs.zip
11-02
标题中的"openwrt-x86-64-nas-combined-squashfs.zip"表明这是一款基于OpenWrt的x86架构固件,特别优化用于NAS(网络附加存储)用途,并采用了squashfs文件系统进行压缩。OpenWrt是一个开源的嵌入式操作系统,常用于...
openwrt-x86-64-generic-squashfs-combined.img
08-12
OpenWrt R20.7.20 coolsnowwolf整合 2020-8-12版本,X64安装升级包,如果需要其它编译,可以联系我。
OpenWRT之旅】LuCI探究
weixin_33869377的博客
08-31 911
1. 多语言 1)检查:opkg list | grep luci-i18n- 2)安装语言包:opkg install luci-i18n-hungarian 2.uhttpd这个是LuCI所在的Web Server。docroot在/www下边,index-html指向了/cgi-bin/luci,注意这是相对于docroot而言的路径。 openwrt中利用它作为web服务器,实现客户端...
openwrt/LEDE SSH多次登陆失败禁用IP
weixin_46691674的博客
06-02 861
【代码】openwrt/LEDE SSH多次登陆失败禁用IP。
设置openwrt串口登录密码
nsdcwj的专栏
03-10 4608
设置 openwrt 启动时 串口控制台登录需要密码: 一、客制化busybox make menuconfig Base system —> busybox …… [*] Customize busybox option Login/Password Management Utilities —> [*] login (NEW) 二、修改启动脚本/package/bas
使用fail2ban保护OpenWRTluci登录页面
沐心的博客
11-10 2093
但是又觉得LUCI页面暴露在公网不够安全,所以研究了一下fail2ban发现用这个工具可以一定程度的保护好登录页面的安全。安装了fail2ban之后发现并没有适用于luci登录页面的规则,于是乎我看了一下其它规则,发现都是基于正则表达式匹配错误日志,而我本人对正则表达式略有研究,所以直接自己写了一个luci的登录失败匹配规则。fail2ban规则中 port=http 就是默认的80端口 如果你的登录页面是 443可以用 https 也可以直接使用 443或者80或者其它实际的端口号。
OpenWRT()支持Web界面
嵌入式软件开发交流
01-04 2万+
一、OpenWRTweb界面 我们买来的路由器在浏览器输入192.168.1.1(有些是其他地址)就能进入一个web的配置界面。OpenWRT也能添加默认的web界面。OpenWRTweb界面是使用LuCI来构造的。(LuCI自行百度) 二、配置web界面 make menuconfig进入配置界面 进入LuCI 进入Collections 选中luci。保存退出 执行mak
OpenWrt Web GUI WIFI 设置/显示配置的 简单分析
redparrot2008的博客
05-18 5729
WIFI 技术从WIFI5 发展的 WIFI 6, 高通的QSDK 从SPF1 已经release SPF11.1 版本。当客户设置用WEB 页面配置wifi 工作的模式的时候,会发发现模式一直设置的不正确。做为高通AE 工程师,我们通常会建议客户使用uci 进行wifi 配置。但是web 设置的问题一直没有修正。 刚好有点时间抽空了解openwrt /qsdk的web 设置框架,修正了了这个设置显示问题。 1.LUCI 目前OPENWRT的显示采用 luci 架构,Luci 框架内基于 lua +
OpenWRT新建普通用户+权限设置+免密码登录(ssh公钥验证)
热门推荐
Linux/OpenWrt
09-04 2万+
openwrt 新建用户 权限管理 免密码登录 ssh公钥验证 sudo
openwrt系统控制arp-scan命令重定向
最新发布
05-01
OpenWrt系统中,可以使用重定向符号 ">" 将命令的输出重定向到文件中。要控制arp-scan命令的输出重定向,可以按照以下步骤操作: 1. 打开终端或SSH连接到OpenWrt设备。 2. 运行以下命令来执行arp-scan命令并将输出重定向到文件中: ```shell arp-scan <options> > output.txt ``` 其中,"<options>"是arp-scan命令的选项,可以根据需要进行调整。"output.txt"是要将输出保存到的文件名,你可以根据需要自定义文件名。 3. 执行命令后,arp-scan命令的输出将被重定向到指定的文件中。 请注意,如果指定的文件已经存在,重定向操作将覆盖该文件的内容。如果你希望将输出追加到文件末尾而不是覆盖文件内容,可以使用 ">>" 符号进行重定向。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值