Krzysztof Burghardt’s blog » Linux

ESE Key Daemon 1.2.7 released

Krzysztof Burghardt — Mon, 05 Jul 2010 07:35:52 +0000

New version of ESE Key Daemon was released today.

New features include the ability to handle multiple key combinations and distinguish between key presses and releases. A problem with the handling of the last line in a configuration file when there is no newline on the last line is gone. Numeric keys are now also allowed in the configuration file.

Download: esekeyd-1.2.7.tar.gz (.asc)

MD5: 5937ad6d7815dbc6ab6983411a9f37d4
SHA1: 07671be42b61973a3270aaf1b41c3467568ae7ac

Debian GNU/Linux on Dell Inspiron 1764

Krzysztof Burghardt — Mon, 26 Apr 2010 18:17:59 +0000

Installing, configuring and using Debian GNU/Linux on Dell Inspiron 1764 (N0476409) notebook.

Hardware overview

Intel Core i5-520M (2.4GHz, 4 Threads, turbo Boost up to 2.93GHz, 3M cache)
17.3″ WLED High Definition+ (1600×900) TFT Display
1GB ATI Mobility Radeon HD 5450
4096MB 1067MHz Dual Channel DDR3 SDRAM (2×2048)
500GB (5400RPM) Serial ATA Hard Drive
DVD +/- RW Drive (read/write CD & DVD)
Dell Wireless 1520 (802.11a/b/g/n)
Dell Bluetooth 365
Integrated 1,3MP webcam

Devices that works with Linux

CPU: both cores and HT works, recent Linux kernels support speedstep,
USB: works (even with Debian Installer images),
DVD+/-RW: works (even with Debian Installer images),
Graphic: basic features (2D, hardware accelerated 3D rendering) works with proprietary drivers only, most other features (CAL, POWERplay, multihead) unsupported; no FLOSS alternative,
Sound: works, but I need to pass options to module to make sound work properly,
Ethernet: works (even with Debian Installer images),
Wireless LAN: basic features (STA mode) supported by proprietary drivers only, other features (monitor mode and packet injection) not supported; no FLOSS alternative,
Bluetooth: works (as HCI only after reset with hid2hci),
Card reader: works (tested with MicroSD and Memory Stick PRO Duo, both with adapters),
Webcam: works.

Also “Suspend to RAM” works using sysfs method of hibernate script. “Suspend to disk” works using ususpend method.

Devices that does not work with Linux

none :-D

Devices

Configuration

Graphic

Download and install fglrx driver. Google is full of instruction how to install it, so I skip this step.

When driver is installed and fglrx is loaded into kernel its time to configure X.Org. Probably aticonfig would be best choice, but it fails on Mobility Radeon HD 5000 series cards with message:

# aticonfig --initial
aticonfig: No supported adapters detected

Download my xorg.conf and put it into /etc/X11 directory. Then start X-server using startx command. My default layout include Inspiron’s built-in TFT screen, ATI Mobility Radeon HD 5450, ALPS touchpad and any other mice connected to it.

You will probably see “AMD unsupported hardware” watermark in lower right corner of the screen. There is no configuration option to remove it. Removal is possible by patching fglrx_drv.so file. Kano posted small script to replace call to EnableLogo with NOPs on Phoronix Forums’ thread “Unsupported Hardware watermark”:

#!/bin/sh
DRIVER=/usr/lib/xorg/modules/drivers/fglrx_drv.so
for x in $(objdump -d $DRIVER|awk '/call/&&/EnableLogo/{print "\\x"$2"\\x"$3"\\x"$4"\\x"$5"\\x"$6}'); do
sed -i "s/$x/\x90\x90\x90\x90\x90/g" $DRIVER
done

Sound

Create file /etc/modprobe.d/sound with following content:

alias snd-card-0 snd-hda-intel
options snd-hda-intel model=dell index=0

Reload alsa driver (or reboot).

Wireless LAN

Drivers need to be compiled from sources. First prepare your system for kernel module building. Install build-essential and module-assistant packages.Then prepare kernel headers:

# aptitude install build-essential module-assistant
# m-a prepare

When kernel headers are ready download 802.11 Linux STA driver for Broadcom’s IEEE 802.11a/b/g/n devices (this includes BCM4311, BCM4312, BCM4313, BCM4321 and BCM4322). Compile it. Install. And finally load into running kernel:

# cd /usr/src
# wget http://www.broadcom.com/docs/linux_sta/hybrid-portsrc-x86_64-v5.60.48.36.tar.gz
# mkdir hybrid-portsrc-x86_64-v5.60.48.36
# cd hybrid-portsrc-x86_64-v5.60.48.36
# tar zxf ../hybrid-portsrc-x86_64-v5.60.48.36.tar.gz
# make
# mkdir /lib/modules/`uname -r`/local
# cp wl.ko /lib/modules/`uname -r`/local
# depmod -A
# modprobe -v wl

Command dmesg | tail should output something similar to this:

wlan0: Broadcom BCM4353 802.11 Hybrid Wireless Controller 5.60.48.36

Bluetooth

Dell Bluetooth 365 is detected as HCI on kernel 2.6.32-bpo.4-amd64 only if previously reset with hid2hci (get a copy form bluez 4.6). This is actually a feature, not a bug. Use recent hid2hci to put device into HCI mode:

# hid2hci -m dell -v 413c -p 8162
Attempting to switch device 413c:8162 to HCI mode was successful

nCipher HSM with OpenSSL

Krzysztof Burghardt — Tue, 02 Mar 2010 22:36:50 +0000

I just finished playing with some nCipher’s HSM. Unfortunately there is no integration guide for OpenSSL that cover CHIL interface and nCipher hardware security modules.

nCipher’s installation guide is quite good, but after you finish installing hardware, drivers and daemons, you are on your own.

I found only two helpful sources: Andrea Campi’s blog entry about nCipher NetHSM and OpenSSL and Marek Marcola’s post on openssl-users mailing list.

Both guides ends on key generation and self-signed certificates. Its enough to get CHIL enabled application to work with nCipher’s HSM, but will not help you to convert any existing OpenSSL (not an CHIL-aware) application to use HSM.

CHIL enabled OpenSSL

When you have driver, hardserver and chil library for your HSM installed the next step is to install OpenSSL with CHIL support enabled. Modern Linux distribution may have CHIL already enabled. If so, there should be libchil.so library in /usr/lib/ssl/engines directory.

If libchil.so is missing follow OpenSSL installation steps as described in Apache2.2.x, OpenSSL 0.9.8x and nCipher Modules Integration Guide.

When OpenSSL in installed, add /opt/nfast/toolkits/hwcrhk to LD_LIBRARY_PATH:

$ export LD_LIBRARY_PATH=/opt/nfast/toolkits/hwcrhk

To check if OpenSSL is able to communicate with HSM trough CHIL interface run:

$ openssl engine -t chil
(chil) CHIL hardware engine support
     [ available ]

If CHIL is available benchmark HSM with:

$ openssl speed rsa -engine chil -elapsed -multi 50

Hardware accelerated cryptography

Use engine interface to switch to cryptography implementation from hardware security module.

#include

ENGINE *hwEngine = NULL;

int enable_chil()
{
ENGINE_load_builtin_engines();

if (!(hwEngine = ENGINE_by_id("CHIL")))
return -1;

if (!ENGINE_set_default(hwEngine, ENGINE_METHOD_ALL))
return -2;

return 0;
}

When application finish its cryptography operations, it should free engine.

void disable_chil()
{
if(hwEngine)
{
ENGINE_finish(hwEngine);
hwEngine = NULL;
ENGINE_cleanup();
}
}

Hardware key protection/storage

If you want to make your private keys more secure you should use hardware key protection (or even storage).

Hardware protected keys are stored on local filesystem, but encrypted by key stored only in HSM. To generate such key use:

$ /opt/nfast/bin/generatekey hwcrhk

Answer some questions (Protected by? module, Key type? RSA, Key size? 4096, Key identifier? keyname) and your encrypted (by module, as you choose in question above) private key is saved in /opt/nfast/kmdata/local/key_hwcrhk_rsa-keyname.

When using locally stored encryption keys you load them as in this example (I use EVP interface for high-level cryptographic functions):

EVP_PKEY *pkey = NULL;

int load_key()
{
fp = fopen("filename.key", "r");

if (fp == NULL)
return -1;

pkey = PEM_read_PrivateKey(fp, NULL, NULL, NULL);

return 0;
}

When you have CHIL keys, loading them is also very simple:

void load_key_chil()
{
pkey = ENGINE_load_private_key(hwEngine, "rsa-keyname", NULL, NULL);
}

When key is no longer in use destroy it with:

void free_key()
{
EVP_PKEY_free(pkey);
}

If application just need to do some hardware accelerated RSA or it need to use hardware protected keys those code pieces along with CHIL-enabled OpenSSL is all you need.

Aktualizacja OpenWRT

Krzysztof Burghardt — Tue, 20 Oct 2009 23:11:34 +0000

W styczniu opisałem jak zainstalować dopasowaną do własnych potrzeb dystrybucję OpenWRT na routerze ASUS WL-500g Premium. Pora na aktualizację.

Kopia zapasowa

Na wszelki wypadek, gdyby aktualizacja się nie powiodła warto wykonać kopię bezpieczeństwa aktualnego systemu. Informacje na temat wykonywania kopii całego oprogramowania (kernel + squashfs + jffs2) znajdziemy w wiki pod hasłem “BackupAndRestore“.

Aktualizacja źródeł

Zgodnie z instrukcją na stronie zatytułowanej “GetSource” pobieramy źródła. Jeśli mamy jeszcze poprzednie używamy svn switch –relocate, aby zmienić protokół z https:// na svn://, a następnie wydajemy polecenie svn up.

Nakładanie łatek

Łatka zwiększająca domyślny limit wielkości obszaru rootfs nie jest już potrzebna. Aktualny limit jest ustawiony wyżej niż ustawiała go łatka.

Łatka włączająca wsparcie dla OCF w OpenSSL wygląda tak:

Index: package/openssl/Makefile
===================================================================
--- package/openssl/Makefile (wersja 18079)
+++ package/openssl/Makefile (kopia robocza)
@@ -81,6 +81,8 @@
define Build/Configure
(cd $(PKG_BUILD_DIR); \
./Configure linux-openwrt \
+ --with-cryptodev \
+ --with-cryptodev-digests \
--prefix=/usr \
--openssldir=/etc/ssl \
$(TARGET_CPPFLAGS) \

Konfiguracja źródeł

Uruchamiamy make menuconfig i wczytujemy poprzednio użyty plik konfiguracyjny.

Następnie w menu wybieramy Advanced configuration options (for developers), a w podmenu Use ccache oraz Toolchain Options, a w nim Enable Stack-Smashing Protection support.

Aby używać najnowszej wersji sterownika WiFi oraz najnowszego firmware wybieramy w menu głównym Kernel modules, a następnie Wireless Drivers. W tym podmenu wybieramy kmod-b43 oraz upewniamy się, że odznaczona pozostaje opcja kmod-b43legacy.

W tym samym podmenu możemy wybrać b43 firmware version. Wybieramy 4.178.10.4 (experimental).

Kompilacja i instalacja

Kompilację i instalację przeprowadzamy zgodnie z wcześniejszą instrukcją.

Problemy

Jedyny, i w dodatku prosty do usunięcia problem jaki napotkałem to…

OPKG: Could not obtain administrative lock

Jeśli po wydaniu polecenia opkg update zobaczymy komunikat:

Collected errors:
 * Could not obtain administrative lock

Należy utworzyć katalog /usr/lib/opkg. Jeśli katalog istnieje należy usunąć z niego plik lock.

Szwajcarski nóż^Wpendrive oficerski

Krzysztof Burghardt — Sun, 12 Jul 2009 20:46:52 +0000

Szwajcarskie noże oficerskie słyną ze swej funkcjonalności. Odkąd zaczęto produkować wersje z wbudowaną pamięcią flash na USB zastanawiałem się, jak zapewnić oprogramowaniu zainstalowanemu na przenośnej pamięci równie dużą funkcjonalność.

PenDrive do zadań specjalnych

Plan minimum to możliwość uruchamiania z pamięci klucza USB przynajmniej:

Programu rozruchowego GRUB
Ultimate Boot CD
Parted Magic OS

Dodatkowo przydatna byłaby dystrybucja typu LiveCD (Debian Live?) oraz możliwość uruchamiania instalatora Debiana.

Przygotowanie pamięci

Przygotowanie dysku USB rozpoczynamy od usunięcia aktualnej tablicy partycji. W wyniku wykonania tego kroku dane na dysku nie będą już dostępne. Mój dysk jest w systemie widoczny jako /dev/sda.

# dd if=/dev/zero of=/dev/sda bs=512 count=1

Gdy tablica partycji jest już czysta, tworzymy partycję startową. W tym celu użyjemy programu mkdiskimage z pakietu syslinux-common. Użycie tego narzędzia pozwala na stworzenie dysku, który będzie można uruchamiać zarówno jako USB-HDD, jak i jako USB-ZIP. Partycja startowa będzie oznaczona numerem 2, dzięki czemu systemy Windows, nie będą jej używały.

# mkdiskimage -2 -z /dev/sda 1024

Ostatni parametr to wielkość partycji. W moim przypadku 1024, czyli największy rozmiar, który jest obsługiwany przez wszystkie systemy BIOS. Możemy stworzyć mniejszą partycję, jeśli mamy mniejszą pamięć flash. Stworzenie większej, może spowodować problemy z uruchamianiem systemu z tej partycji.

Instalacja GRUB-a

Kolejnym krokiem będzie instalacja GRUB4DOS. Po pobraniu i rozpakowaniu programu wydajemy, w katalogu z programem, polecenia:

# ./bootlace.com /dev/sda
# ./bootlace.com --floppy /dev/sda2

Aby dokończyć instalację, montujemy partycję /dev/sda2 i kopiujemy na nią plik grldr:

# mount /dev/sda2 /mnt
# cp grldr /mnt

Instalacja Ultimate Boot CD i Parted Magic OS

W tym przypadku ciężko mówić nawet o instalacji. Po prostu umieszczamy pliki ubcd.iso i pmagic-4.1.iso na nośniku (obok skopiowanego wcześniej grldr).

Łączenie elementów układanki w działającą całość

Pewnie już każdy zastanawia się jak to ma niby zadziałać? GRUB i obrazy ISO płyt CD!? Odpowiedź jest prosta: menu.lst.

Po rozpakowaniu GRUB4DOS otrzymamy plik menu.lst, w którym odnajdziemy m.in. takie wpisy:

title Parted Magic ISO
fallback 7
find --set-root /pmagic.iso
map /pmagic.iso (0xff) || map --mem /pmagic.iso (0xff)
map --hook
chainloader (0xff)
savedefault --wait=2

title Ultimate Boot CD ISO
fallback 8
find --set-root /ubcd.iso
map /ubcd.iso (0xff) || map --mem /ubcd.iso (0xff)
map --hook
chainloader (0xff)
savedefault --wait=2

Oto cała magia GRUB4DOS. Potrafi on załadować system z bootowalnego obrazu ISO.

Testowanie z pomocą QEMU

Aby przetestować działanie PenDrive-a bez konieczności restartowania komputera użyjemy QEMU. Po odmontowaniu systemu plików wydajemy polecenie:

$ qemu -monitor stdio -kernel-kqemu -m 1024 -hda /dev/sda

Użyte parametry włączają linię komend QEMU na konsoli, z której go uruchomiliśmy; 1024MB pamięci RAM w maszynie wirtualnej; oraz użycie kqemu również dla kodu jądra.

Plan minimum wykonany. Uruchamianie instalatora Debiana i dystrybucji Live jest bardziej skomplikowane, ale również możliwe.

Debian-Installer

Niestety ISO aktualnej wersji stabilnej (“Lenny“) nie potrafi wystartować w ten sposób, dlatego użyjemy hd-media/boot.img.gz dla i386 (lub amd64).

Plik ten należy poddać dekompresji i skopiować na PenDrive-a:

# gunzip boot.img.gz
# cp boot.img /mnt/debian-installer.img

Do menu.lst należy dodać następujący wpis:

title Debian-Installer
find --set-root /debian-installer.img || root (fd0)
map /debian-installer.img (fd0)
map --hook
chainloader (fd0)+1
rootnoverify (fd0)
map --floppies=1

Oprócz hd-media/boot.img.gz na nośniku potrzebne jest jeszcze zwykłe ISO instalatora Debiana. Można wybrać dowolny obraz z dostępnych (netinst, cd1 a nawet dvd1, jeśli mamy około 4GB wolnego miejsca). Obraz może znajdować się na innej partycji.

Debian Live

Instalacja Debian Live na PenDrive jest bardziej skomplikowana. Zaczynamy od wybrania “smaku” dystrybucji Live. Do wyboru mamy: Gnome, KDE, XFCE, LXDE, Rescue oraz standard.

Gdy pobraliśmy już plik ISO. Za pomocą mount -o loop lub Midnight Commandera kopiujemy plik live/filesystem.squashfs do katalogu live na dysku USB, a pozostałe pliki z płyty CD do jednego katalogu (np. /tmp/debian-live).

Z wszystkich plików (poza live/filesystem.squashfs!) tworzymy nowy plik ISO komendą:

mkisofs -o /tmp/debian-live.iso -J -l -cache-inodes -allow-multidot -no-emul-boot -boot-load-size 4 -boot-info-table -r -b isolinux/isolinux.bin -c isolinux/boot.cat -m isolinux/isolinux.bin /tmp/debian-live

Plik /tmp/debian-live.iso kopiujemy na PenDrive-a, a do menu.lst dodajemy następujący wpis:

title Debian Live
find --set-root /debian-live.iso || root (fd0)
map /debian-live.iso (0xff) || map --mem /debian-live.iso (0xff)
map --hook
chainloader (0xff)

Partycja “na dane” oraz ukrywanie partycji numer 2

Na koniec powinniśmy stworzyć partycję /dev/sda1 zajmującą całe pozostałe miejsce oraz nadać partycjom etykiety, aby łatwiej było je rozróżnić. Na koniec warto ukryć partycję /dev/sda1. Wszystkiego tego dokonamy uruchamiając komputer z… naszego PenDrive-a za pomocą Parted Magic OS.

Windows

W podobny sposób można z PenDrive-a uruchamiać obrazy płyt CD (BartPE) z Windows XP przygotowane programem PE Builder.

Sptrace 1.4.2 released

Krzysztof Burghardt — Sat, 14 Mar 2009 09:00:06 +0000

New version of sptrace was released today. Sptrace is a secure ptrace() Linux Kernel Module (LKM). It limits users’ access to the ptrace() call. Module was updated to reflect changes in new kernel releases and tested with 2.6.26.

When someone not allowed to trace processes uses program that call ptrace() (like strace, ltrace or gdb) current and parent processes names, pids, uids and euids are logged, e.g.:

Mar 13 08:51:11 ghost kernel: [ 8086.730499] sptrace: ptrace() DENIED for (gdb:6810) UID(1000) EUID(1000), parent (gdb:6785) UID(1000) EUID(1000)
Mar 13 08:51:11 ghost kernel: [ 8086.984694] sptrace: ptrace() DENIED for (gdb:6785) UID(1000) EUID(1000), parent (tcsh:32216) UID(1000) EUID(1000)
Mar 13 08:51:44 ghost kernel: [ 8119.928920] sptrace: ptrace() DENIED for (gdb:6923) UID(1000) EUID(1000), parent (tcsh:32216) UID(1000) EUID(1000)

Program that call ptrace() will get EPERM error:

$ strace ls
strace: ptrace(PTRACE_TRACEME, ...): Operation not permitted
$ ltrace ls
PTRACE_TRACEME: Operation not permitted
PTRACE_SETOPTIONS: Operation not permitted
$ gdb -p 32215
GNU gdb 6.8-debian
[...]
This GDB was configured as "i486-linux-gnu".
Attaching to process 32215
ptrace: Operation not permitted.

Module log both allowed and denied ptrace() calls. Allowed traces as logged as:

Mar 11 19:14:48 ghost kernel: [ 6445.524669] sptrace: ptrace() by (ltrace:27558) UID(1000) EUID(1000), parent (ltrace:27557) UID(1000) EUID(1000)
Mar 11 19:14:48 ghost kernel: [ 6445.525460] sptrace: ptrace() by (ltrace:27557) UID(1000) EUID(1000), parent (tcsh:26606) UID(1000) EUID(1000)

By default sptrace deny access to ptrace() to all non root users (GID != 0). Root group (or wheel) is allowed to use this call. To disable tracing for all users, including those in root group pass parameter ptrace_group=-1, e.g.:

$ insmod ./sptrace.ko ptrace_group=-1

Download: sptrace-1.4.2.tar.gz (.asc)

md5sum: 9a23198cbdcd256b11e2b0dc2c03b331
sha1sum: 458f9b15e9a5b02cd18759b6b09a4b41d062d7cd

ClamFS 1.0.0 has been released

Krzysztof Burghardt — Sun, 08 Feb 2009 14:18:45 +0000

ClamFS 1.0.0 has been released yesterday. It contains some new features that might be quite interesting for its users.

Completed clamd results caching

This was a long waiting feature. Version 0.9.1 cache only information about clean files. Infected files was scanned on every access. Starting from version 1.0.0 information about both clean and infected files are kept in cache while files that cannot be scanned (mostly because of permission problems) are discarded from cache.

Starting without clamd available

A new “check” option was added to allow you to mount a ClamFS file system when clamd is not available, such as during an early stage of the boot process. To disable ClamAV Daemon (clamd) check on ClamFS startup set option check to no:

socket="/var/run/clamav/clamd.ctl" check="no" />

Mounting file systems from /etc/fstab

With “check=no” mounting ClamFS file systems form /etc/fstab is possible using fuse mount helper (/sbin/mount.fuse). ClamFS will be started on boot with configuration file defined here provided as its argument. Simple definition of ClamFS mount point in /etc/fstab looks like:

clamfs#/etc/clamfs/share.xml /clamfs/share fuse defaults 0 0

Read-only mounts

The “readonly” option was added to the filesystem options allowing you to create a read-only protected file system. Just extend filesystem definition in config file with readonly option set to yes:

root="/share" mountpoint="/clamfs/share" readonly="yes" />

File system and cache statistics

ClamFS has file system statistics that allow you to monitor and tune its performance. Statistics module keep track of file system usage and cache hits. Stats module is configured with “stats” tag. It can dump statistics periodically and on ClamFS dismount:

atexit="yes" every="3600" />

Statistics are dumped to configured logging target. Here is an example of such statistics dumped to syslog:

Feb  8 14:52:51 ghost clamfs: --- begin of statistics ---
Feb  8 14:52:51 ghost clamfs: Early cache hit: 1038
Feb  8 14:52:51 ghost clamfs: Early cache miss: 1030
Feb  8 14:52:51 ghost clamfs: Late cache hit: 1038
Feb  8 14:52:51 ghost clamfs: Late cache miss: 0
Feb  8 14:52:51 ghost clamfs: Whitelist hit: 10
Feb  8 14:52:51 ghost clamfs: Blacklist hit: 108
Feb  8 14:52:51 ghost clamfs: Files bigger than maximal-size: 3
Feb  8 14:52:51 ghost clamfs: open() function called 2081 times (allowed: 1803, denied: 278)
Feb  8 14:52:51 ghost clamfs: Scan failed 278 times
Feb  8 14:52:51 ghost clamfs: --- end of statistics ---

Better default extension blacklist

Default blacklist in configuration file was extended. I advise all users to incorporate blacklist from version 1.0.0 into their configuration files.

Huawei E272 jako zapasowe łącze routera OpenWRT

Krzysztof Burghardt — Fri, 23 Jan 2009 18:30:08 +0000

Niedawno opisałem instalację “mydelniczki” DSL Thomson SpeedTouch 330 w OpenWRT. Tym razem instalujemy “mydelniczkę” trzeciej generacji – Huawei E272 – jako zapasowe łącze w routerze.

Konfiguracja źródeł i kompilacja

W pliku .config włączamy program chat odpowiedzialny za komunikację z modemem oraz sterownik portów szeregowych na magistrali USB – usbserial. Możemy włączyć też moduł option lub inny odpowiedni dla naszego modemu. Pozostałe ustawienia pozostawiamy niezmienione. Można dodatkowo zainstalować microcom, aby ułatwić sobie ewentualne “ręczne sterowanie” modemem.

CONFIG_PACKAGE_chat=y
CONFIG_PACKAGE_kmod-usb-serial=y
CONFIG_PACKAGE_kmod-usb-serial-option=y
CONFIG_PACKAGE_microcom=y

Rekompilujemy i instalujemy OpenWRT. (Ewentualnie można doinstalować brakujące pakiety do istniejącej instalacji OpenWRT za pomocą opkg.)

Port szeregowy

Ponieważ modem GPRS po podłączeniu nie jest przypisywany przez system do żadnego sterownika (w Debianie obsługuje go moduł option, jeśli go nie włączymy możemy użyć ogólnego sterownika portu szeregowego na USB). Dopisujemy w pliku /etc/modules.d/60-usb-serial opcje vendor i product oraz maxSize.

usbserial vendor=0x12d1 product=0x1001 maxSize=4096

Po tej operacji należy ponownie załadować moduł usbserial poleceniem:

# rmmod usbserial
# insmod /lib/modules/`uname -r`/usbserial.ko vendor=0x12d1 product=0x1001 maxSize=4096

Skrypty chata

Do inicjacji modemu należy użyć skryptów programu chat. Należy stworzyć katalog, np. /etc/chatscripts.

# mkdir /etc/chatscripts

A następnie w stworzonym katalogu utworzyć pliki /etc/chatscripts/iplus i /etc/chatscripts/iplus-off o następującej zawartości:

/etc/chatscripts/iplus:

TIMEOUT 10
ECHO ON
ABORT "NO CARRIER"
ABORT "NO DIALTONE"
ABORT "ERROR"
ABORT "NO ANSWER"
ABORT "BUSY"
'' 'rATZ'
CLR_ABORT "ERROR"
OK AT+CPIN=1234
'' AT+CGDCONT=1,"IP","www.plusgsm.pl"
OK ATD*99#
ABORT "ERROR"
CONNECT ``

/etc/chatscripts/iplus-off:

ABORT "NO CARRIER"
ABORT "NO DIALTONE"
ABORT "ERROR"
ABORT "NO ANSWER"
ABORT "BUSY"
"" "K"
"" "+++ath"

W pierwszym skrypcie należy ustawić własny PIN. Cała ta dziwna sekcja zaczynająca się od CLR_ABORT służy do ignorowania odpowiedzi ERROR modemu podczas ponownego łączenia, czyli gdy karta SIM jest już odblokowana.

Konfiguracja połączenia

Aby skonfigurować połączenie GPRS (albo EDGE lub HSDPA, ponieważ tutaj o typie połączenia decyduje modem) dodajemy do pliku /etc/config/network:

config interface backup
option ifname "ppp0"
option proto ppp
option device /dev/ttyUSB0
option connect "/usr/sbin/chat -v -f /etc/chatscripts/iplus"
option disconnect "/usr/sbin/chat -v -f /etc/chatscripts/iplus-off"

Aby połączenie to uczynić domyślnym połączeniem WAN zmieniamy linię config interface backup na config interface wan.

Aby używać zapasowego łącza wydajemy komendy:

# ifdown wan
# ifup backup

OpenWRT na miarę naszych możliwości i potrzeb

Krzysztof Burghardt — Sat, 10 Jan 2009 16:06:32 +0000

Ile kosztuje router z 5 portowym zarządzlanym przełącznikiem z obsługą VLAN-ów, Wi-Fi (802.11b/g) z WPA-2 PSK, PPPoA (np. Noestrada), PPPoE (np. Multimo), dwoma portami USB (dyskiem twardym lub flash na USB?), możliwością logowania przez SSH, Firewallem (netfilter/iptables), NAT, QoS (z rozpoznawaniem aplikacji na poziomie warstwy 7), (c|r)torrent, wget, DHCP, DNS z pamięcią podręczną, serwerem WWW i FTP, oidentd z wsparciem dla NAT i na deser obsługą IPv6?

Sprzęt: około 300 złotych. Oprogramowanie: wyłącznie darmowe. Czas instalacji: kilka godzin (najdłuższa część to kompilacja całego systemu operacyjnego i wszystkich pakietów, ale jest ona zautomatyzowana i nie wymaga interwencji użytkownika, a sama instalacja zajmuje kilka minut).

Od czego zacząć?

Zaczynamy od kupna wspieranego przez OpenWRT routera. Chodzi nam wyłącznie o najlepszy sprzęt. Oprogramowanie wymienimy zaraz po zakupie. Według moich priorytetów najlepszym wyborem jest ASUS WL-500g Premium. Na drugim miejscu uplasował się Linksys WRTSL54GS.

Gdy mamy już router

Możemy zacząć od instalacji OpenWRT w wersji WhiteRussian. Opisywać instalacji i konfiguracji WhiteRussian nie będę, każdy najdzie na ten temat wiele informacji. Jeśli się uda i router spełnia nasze oczekiwania możemy skończyć w tym miejscu. Ale jeśli chcemy skonfigurować router w zupełnie dowolny sposób najlepszym rozwiązaniem jest zbudowanie OpenWRT ze źródeł.

Oprogramowanie niezbędne do zbudowania OpenWRT

Do zbudowania OpenWRT w Debianie lub Ubuntu niezbędne jest posiadanie następujących pakietów:

# aptitude install build-essential binutils flex bison autoconf gettext texinfo sharutils subversion libncurses5-dev ncurses-term zlib1g-dev

Źródła z repozytorium Subversion

Pobieramy źródła OpenWRT z repozytorium Subversion:

$ svn co https://svn.openwrt.org/openwrt/trunk/ openwrt-svn
$ svn co https://svn.openwrt.org/openwrt/packages/ openwrt-svn/feeds/packages

Następnie tworzymy dowiązania dla pakietów z katalogu feeds:

$ make package/symlinks

Konfiguracja obrazu OpenWRT

Kolejnym krokiem jest konfiguracja obrazu OpenWRT, wybieramy rodzaj obrazu (np. SquashFS), opcje Busybox, Linuksa i pakietów:

$ make menuconfig

Opcje Target System, Profile, Image

Dla Asusa WL-500gP Target System należy ustawić na Broadcom BCM947xx/953xx [2.6] lub Broadcom BCM947xx/953xx [2.4]. Opcja ta wybiera linię jądra, odpowiednio 2.6 lub 2.4. Generalnie należy wybrać 2.6. Jeśli 2.6 nie będzie działało kolejnym krokiem będzie wypróbowanie jądra 2.4.

Jako Target Profile wybieramy Broadcom BCM43xx WiFi (default). Jeśli mamy inny rodzaj kontrolera sieci bezprzewodowej wybieramy właściwą opcję. Przydatne jeśli wymieniliśmy kartę MiniPCI w routerze np. na opartą na kontrolerze Atheros.

Target Images definiuje rodzaj systemu plików używanego jako /. Najlepszym wyborem jest squashfs zapewniający wyższy stopień kompresji niż jffs2. Drugą ważną różnicą jest to, iż jffs2 umożliwia zapis, a squashfs jest tylko do odczytu. Jeśli wybierzemy squashfs na główny system plików, na routerze zostanie stworzony obszar przeznaczony do zapisywania danych w formacie jffs2.

Advanced configuration options (for developers)

W menu Build Options wybrałem opcje Clean all ipkg files before building the rootfs oraz Use ccache. Pierwsza powoduje przebudowanie wszystkich pakietów za każdym razem, a druga włącza użycie pamięci podręcznej dla plików obiektów. program ccache przyspiesza kompilację w przypadku budowania OpenWRT po raz kolejny, z niewielkimi zmianami w stosunku do poprzedniej konfiguracji.

Natomiast w menu Toolchain Options zaznaczyłem Enable Smash Stacking Protection support, która (przynajmniej teoretycznie) powinna utrudniać wykonywanie kodu przez przepełnienie bufora. Podnosi to (nieco) poziom bezpieczeństwa w przypadku próby wykorzystania przez atakującego tego typu błędów.

Wybór pakietów

Wybór pakietów jest najdłuższą czynnością. Na szczęście dla większości pakietów dostępny jest krótki opis. Mój plik konfiguracyjny dla ASUS WL-500g Premium umieściłem tutaj jako referencję. Może on być użyty jako baza do dalszych eksperymentów albo bezpośrednio do zbudowania OpenWRT w wersji r13858.

Zmiana limitu wielkości dla rootfs

Domyślny limit wielkości obszaru rootfs jest zdefiniowany w tools/firmware-utils/src/trx.c i wynosi 0x5A0000 (większość routerów ma mniej pamięci flash niż WL500GP). W moim przypadku było to zbyt mało aby pomieścić wszystkie aplikacje, a ponieważ router bezproblemowo obsługuje większe rozmiary rootfs powiększyłem rootfs o 1MB. Poniżej patch:

Index: tools/firmware-utils/src/trx.c
===================================================================
--- tools/firmware-utils/src/trx.c (wersja 13876)
+++ tools/firmware-utils/src/trx.c (kopia robocza)
@@ -60,7 +60,7 @@

#define TRX_MAGIC 0x30524448 /* "HDR0" */
#define TRX_VERSION 1
-#define TRX_MAX_LEN 0x5A0000
+#define TRX_MAX_LEN 0x6A0000
#define TRX_NO_HEADER 1 /* Do not write TRX header */

struct trx_header {

Sprzętowo wspomagana biblioteka OpenSSL

Jeśli router posiada Sonics Silicon Backplane (ssb) i rdzeń IPSEC (Core 7 found: IPSEC (cc 0x80B, rev 0×00, vendor 0×4243)) warto w pliku .config włączyć:

CONFIG_PACKAGE_kmod-crypto-ocf=y
CONFIG_PACKAGE_kmod-ocf-ubsec-ssb=y
CONFIG_PACKAGE_ocf-crypto-headers=y

Oraz dodać do biblioteki OpenSSL opcję włączającą wsparcie dla OCF:

Index: package/openssl/Makefile
===================================================================
--- package/openssl/Makefile (wersja 13876)
+++ package/openssl/Makefile (kopia robocza)
@@ -81,6 +81,8 @@
define Build/Configure
(cd $(PKG_BUILD_DIR);
./Configure linux-openwrt
+ --with-cryptodev
+ --with-cryptodev-digests
--prefix=/usr
--openssldir=/etc/ssl
$(TARGET_CPPFLAGS)

Aplikacje używające libssl powinny teraz korzystać ze sprzętowej akceleracji operacji szyfrowania i haszowania. Aplikacje takie to m.in.: OpenVPN, rTorrent i wget. Dropbear (domyślny serwer SSH w OpenWRT) nie korzysta z OpenSSL i dlatego nie jest wspomagany sprzętowo.

Budowanie OpenWRT

Aby pobrać wszystkie niezbędne do zbudowania OpenWRT pliki wydajemy polecenie (jeśli tego nie zrobimy pliki będą pobierane przed budowaniem każdego pakietu):

$ make download

Gdy wszystko jest już skonfigurowane wydajemy polecenie:

$ make world

W zależności od ilości wybranych pakietów, mocy obliczeniowej procesora i ilości pamięci RAM zbudowanie wszystkiego zajmie od kilku do kilkudziesięciu minut. Włączenie ccache przyspiesza budowanie w momencie gdy wprowadzimy niewielkie zmiany w konfiguracji i budujemy OpenWRT po raz kolejny.

Instalacja OpenWRT na routerze

Ta czynność jest bardzo prosta w przypadku WL-500gP. Po odłączeniu routera od zasilania wciskamy i trzymamy przycisk reset. Trzymając reset podłączamy zasilanie. Gdy dioda informująca o stanie zasilania zacznie migać zwalniamy przycisk reset. Podłączamy kabel Ethernet do portu LAN routera i do komputera.

Ustawiamy adres IP na interfejsie eth0:0 za pomocą komendy:

# ifconfig eth0:0 192.168.1.5 up

A następnie przechodzimy do katalogu bin i wydajemy polecenie:

$ atftp --trace --option "timeout 1" --option "mode octet" --put --local-file openwrt-brcm47xx-squashfs.trx 192.168.1.1

Czekamy do zakończenia kopiowania pliku. Po zakończeniu sesji tftp czekamy około 5 minut na zapisanie obrazu OpenWRT w pamięci flash i odłączamy zasilanie. Po ponownym podłączeniu zasilania router będzie bardzo długo startował ze względu na konieczność utworzenia obszaru jffs2 i wygenerowania kluczy SSH routera.

Konfiguracja OpenWRT

Łączymy się z routerem za pomocą telnetu:

$ telnet 192.168.1.1

Następnie ustawiamy hasło:

# passwd

Ustawienie hasła uniemożliwia dalsze logowanie przez telnet. Od tej chwili należy używać wyłącznie SSH. Wylogowujemy się z routera i logujemy za pomocą SSH:

$ ssh root@192.168.1.1

Wyłączanie niepotrzebnych usług

Jeśli nie zamierzamy korzystać z serwera telnet i http możemy je wyłączyć:

# /etc/init.d/telnet disable
# /etc/init.d/httpd disable

Nazwa hosta i strefa czasowa

W /etc/config/system ustawiamy:

config system
option hostname myrouter
option timezone "CET-1CEST-2,M3.5.0/02:00:00,M10.5.0/03:00:00"

Dropbear

Aby włączyć logowanie wyłącznie za pomocą kluczy SSH zapisujemy w /etc/dropbear/authorized_keys nasz klucz publiczny, a następnie w /etc/config/dropbear ustawiamy:

option PasswordAuth 'off'

QoS

Ustawiamy w /etc/config/qos przepływność interfejsu WAN:

option upload 256
option download 1024

Na początek pozostałe opcje warto pozostawić bez zmian.

Thomson SpeedTouch 330, PPPoA i Neostrada

Thomson SpeedTouch 330 otrzymany od TP za 1 zł jest obsługiwany przez Linuksa. Pakiet z firmware również jest obecny w OpenWRT.

W przypadku SAGEM F@st 800 OpenWRT posiada jedynie sterownik. Firmware należy skopiować ręcznie do katalogu /lib/firmware/ueagle-atm po zainstalowaniu OpenWRT.

Aby sprawdzić, czy po podłączeniu do portu USB routera modem został wykryty, oprogramowanie firmware załadowane, a synchronizacja ukończona pomyślnie wydajemy polecenie dmesg | tail. Powinniśmy zobaczyć taki komunikat:

speedtch 2-1:1.0: found stage 1 firmware speedtch-1.bin.4
speedtch 2-1:1.0: found stage 2 firmware speedtch-2.bin.4

ATM dev 0: ADSL line is synchronising
ATM dev 0: ADSL line is up (1312 kb/s down | 320 kb/s up)

Modem jest gotowy i możemy skonfigurować połączenie PPP. W tym celu ustawiamy w pliku /etc/config/network w sekcji WAN configuration:

config interface wan
option ifname "ppp0"
option proto pppoa
option encaps llc
option vpi 0
option vci 35
option username "XXXXXXX@neostrada.pl"
option password "XXXXXXXX"

Aby nawiązać połączenie używamy:

# ifup wan

IPv6

Opcje połączenia IPv6 przez tunel w SixXS definiujemy w /etc/config/aiccu. Konfiguracja radvd znajduje się w /etc/config/radvd.

OpenDNS

Konfigurację OpenDNS na OpenWRT opisałem już wcześniej.

Gdy 8MB pamięci flash to zbyt mało…

Można do portu USB podłączyć dysk twardy USB lub bezgłośny Pendrive na którym można przechowywać pliki pobierane z Internetu. Można na nim również stworzyć partycję wymiany (co przyda się gdy będziemy chcieli uruchamiać więcej programów).

Konfiguracja dodatkowych nośników danych jest przechowywana w /etc/config/fstab. Przykładowa konfiguracja z pratycją /home na pliki uzytkownika, /opt na dodatkowe, niemieszczące się w pamięci flash routera aplikacje oraz partycją swap:

config mount home
option target /home
option device /dev/sda1
option fstype ext3
option options rw

config mount opt
option target /opt
option device /dev/sda2
option fstype ext3
option options rw

config swap
option device /dev/sda3

opkg-link

Aby móc instalować pakiety na zewnętrznej pamięci dodajemy do /etc/opkg.conf linię:

dest usb /opt

Pakiety instalujemy na dysku USB poleceniem:

# opkg -d usb install nazwa_pakietu

Aby dodać link do pakietu w /opt w / możemy użyć skryptu opkg-link. Możemy go skopiować z UsbStorageHowto i zapisać jako /bin/opkg-link.

Podsumowanie

Nieźle jak na sprzęt za niecałe 400 zł (~300 zł router, 80 zł pendrive, 1zł modem DSL), co?

OpenWRT meets OpenDNS

Krzysztof Burghardt — Sun, 04 Jan 2009 00:52:52 +0000

To make whole home network use OpenDNS I need to change only 3 files on my OpenWRT router.

First step – resolv.conf

Create /etc/resolv.conf.opendns with OpenDNS servers addresses, eg:

nameserver 208.67.222.222
nameserver 208.67.220.220

Make sure /etc/resolv.conf defines 127.0.0.1 as a name server.

Second step – dnsmasq

In /etc/config/dhcp set resolvfile variable:

option resolvfile '/etc/resolv.conf.opendns'

Restart dnsmasq with:

# /etc/init.d/dnsmasq restart

Third step – /etc/hotplug.d/iface

This step is only needed if you have a dynamic IP address and you want to use advanced OpenDNS features (like content filters or statistics).

Create file /etc/hotplug.d/iface/40-opendns with command similar to this:

#!/bin/sh

case "${ACTION:-ifup}" in
ifup)
logger -t opendns `curl -k -u username:password https://updates.opendns.com/nic/update?hotsname=NetworkName`
;;
esac

Note that you need curl built with (libopen)ssl.

Test hotplug script with:

# ifdown wan
# ifup wan

Then check log with:

# logread | tail

If script work you will see a message like:

Jan  4 01:13:27 hurricane user.notice opendns: good 83.10.94.104

Finally go to OpenDNS. If everything is fine you should find green “You’re using OpenDNS!” in the right corner. In “Dashboard > Networks” you should find entry for NetworkName with your current IP and message “(your current IP)”.