我有一台 TP-LINK WR841N 路由器,我的所有家庭成员都可以使用它(他们知道 Web 界面的密码)。
我想要的是每次有人登录或更改密码时,都会向我发送一封电子邮件,其中包含有关该事件的详细信息,并且(如果密码更改)还会发送新密码。
另一种选择是某种主密码或权限管理系统(例如,使用 Git 服务器,您可以添加 SSH 密钥,以便其他人无需密码即可推送或拉取)。
这一切可能吗?
答案1
我可以回答您关于类似 Git 的无密码公钥认证的后面一个问题。
许多 Wi-Fi 接入点(无线路由器)支持 IEEE 802.1X 身份验证,通常是作为一组更大的安全协议的一部分,称为WPA2 企业版802.1X 允许每个用户使用唯一的登录凭据。通常,这些凭据由单独的身份验证服务器检查,AP 通过 RADIUS 协议访问该服务器。IEEE 802.1X 和 RADIUS 充当许多特定身份验证方法的管道,包括一种称为 EAP-TLS 的身份验证方法。EAP-TLS 允许通过公钥证书(当然还有匹配的私钥)进行用户身份验证。
因此,获得无密码每个用户凭据的最标准方法是使用 RADIUS 服务器设置 WPA2-Enterprise,并使用每个用户(或每个设备)公钥证书进行 EAP-TLS 身份验证。
但设置起来却非常困难。
答案2
虽然没有说得足够清楚,但我认为问题是如何监控或限制对路由器配置的访问,而不是对 Wi-Fi 的访问。
这一切可能吗?
是的,一般来说。我猜这些技巧可能更容易用其他固件来实现(比如dd-wrt,OpenWRT-- 我对后者有一些经验)比对原始版本更有经验。使用替代固件,您可以为自己提供 ssh 访问权限,同时将 http 接口留给家人。通过 ssh 提供的命令行界面将为您提供更强大的功能。请记住:能力越大,责任越大。
不过,还有一个问题。由于在家庭路由器操作系统中限制用户的情况非常少见,因此非 root 用户可能很难使用 http 界面登录(因此允许他们仅更改部分选项)。除非你切断你家人的 http 配置或者找到(或创建)明确支持有限用户的固件他们将能够改变您的设置。如果您需要主密码作为恢复手段以防您的家人忘记密码——那没问题。如果您需要永久访问权,无论他们做什么——那就不那么容易了。
需要考虑的问题:
- 固件可能会使用相同的密码(即 root 密码)进行 http 和 ssh 访问,因此要获得独家的ssh 访问您可能需要进行一些重新配置(见下文)或使用基于密钥的身份验证。
- 固件可能会通过 http 接口公开 ssh 设置。确保您的家人无法干扰您的 ssh 设置可能有些棘手。
- http 接口可能会向用户公开更多高级设置(与原始固件相比;难怪,这是它的工作)。如果误用这些设置,可能会损坏设备。
- 您可能会发现 CLI 比 GUI 需要更多的学习努力。
您应该做一些研究,了解哪种替代固件(如果有)适合您和您的硬件。请自行承担风险 - 或者不要使用它。
以下是关于如何规避上述问题的提示已经在工作OpenWRT. 他们需要一些 Linux 领域的知识。
- 启用 ssh,通过 ssh 登录
root。 - 通过直接编辑来创建非root用户
/etc/passwd。 - 通过直接编辑使用户成为 sudoer
/etc/sudoers。 - 用于
passwd为用户设置密码。这将是您的主密码;它不能通过 http 界面轻松更改。 - 确保您可以以新用户身份通过 ssh 登录;确保用户可以
sudo。 - 滴熊是ssh服务器,学习一下它的选择. 注意
RootLogin选项。使用它来禁用以 root 身份进行 ssh 登录。
您的家人仍然可以通过 http 获得 root 访问权限。默认情况下,他们无法轻松执行任意命令(需要luci-app-commands安装),但他们可以:
- 禁用 ssh 服务器,
- 在防火墙级别阻止 ssh 服务器,
- 使用 cron 作业执行命令。
这足以让你的主密码变得毫无用处。