Avant de traiter le sujet du jour, je souhaite vous informer que j'ai relu tous les billets traitants d'OpenWRT et que j'ai modifié/corrigé la plupart d'entre eux. En effet, certains d'entre eux comportaient des phrases imprécises, d'autres des bourrelets inutiles et enfin d'autres comportaient des phrases qui pouvaient prêter à confusion.
Commençons à traiter le sujet du jour : créer une image personnalisée d'OpenWRT pour votre routeur. Attention : je parle ici d'un routeur déjà supporté par OpenWRT, pas d'une adaptation d'OpenWRT à votre routeur qui n'est pas encore supporté.
ÉDIT du 15 juillet 2012 : Ce billet traite de Backfire 10.03. Quelques petites choses ont changées avec Backfire 10.03.1 et je vous conseille en conséquence de lire, en parallèle, cet autre billet : Créez votre image personnalisée d’OpenWRT : ce qui change avec Backfire 10.03.1.
ÉDIT du 04 janvier 2014 : Ce billet traite de Backfire 10.03. Quelques petites choses ont changées avec Attitude Adjustment 12.09 et je vous conseille en conséquence de lire, en parallèle, cet autre billet : Créez votre image personnalisée d’OpenWRT : ce qui change avec Attitude Adjustment 12.09.
Table des matières
- Table des matières
- Pourquoi créer une image personnalisée ?
- Préparatifs
- Recréer l'image officielle
- Créer une image vraiment personnelle
- Si jamais vous avez une erreur durant la compilation
- Ce qui vous reste à faire après le flashage
- Sources
Pourquoi créer une image personnalisée ?
Tout est déjà dit sur le wiki d'OpenWRT, je traduis juste :
- Inclure les logiciels dont vous avez besoin directement dans l'image squashfs permet de réduire l'espace disque qu'ils occupent sur la flash de votre routeur. Cela est dû aux propriétés du système de fichier squashfs qui est compressé. Pour vous donner un ordre d'idée des gains : prenons une Backfire 10.03 brcm47xx fraichement installée et installons dnscache, ntpd, etherwake, tcpdump-mini, luci-i18n-french, ddns-scripts, iptables-mod-conntrack-extra et supprimons luci-admin-mini et luci-i18n-english. Il me reste 196k d'espace libre. Maintenant, intégrons ces mêmes packages dans une image et installons-la sur le routeur. À la suite de cette installation, il reste 492k d'espace libre dans la mémoire de mon routeur. L'espace gagné vous permettra d'installer encore plus de logiciels 🙂 .
- Créer une image personnalisée vous évitera de tout réinstaller et de tout reconfigurer en cas de problème. Si une expérience vient à foirer, vous aurez juste à reflasher votre routeur avec votre image personnalisée pour retrouver une configuration aux petits oignons. Et si vous avez plusieurs routeurs, vous gagnerez un temps fou en déploiement.
- Construire une image minimale qui correspond à vos besoins.
- Apprendre ... Ça se passe de commentaires.
Préparatifs
Si vous n'avez pas déjà installé l'environnement de développement d'OpenWRT, alors le mieux est de récupérer l'image builder de votre déclinaison.
Si comme moi, vous avez déjà récupéré la totalité de l'environnement, buildroot, servez-vous en. Il est inutile de télécharger l'image builder puisque celui-ci est inclus dans buildroot.
Dans la suite de ce guide, je considérerai que vous avez déjà récupéré buildroot. Sauf mention contraire, je considérerai également que votre répertoire courant est backfire_10.03, c'est-à-dire la racine du buildroot. Si vous avez déjà compilé quelque chose, sauvegardez les binaire obtenus et faites un peu de ménage avec :
backfire_10.03$ make clean |
Note : selon ce que vous voulez obtenir, vous n'êtes pas obligé de suivre toutes les étapes de ce guide. Par exemple, si vous voulez simplement supprimer rdate proprement, vous vous contenterez de créer l'image officielle puis de configurer les options de busybox et de compiler le tout.
Recréer l'image officielle
Si j'ai un conseil à vous donner, progressez à petits pas vers la création de votre image personnalisée : compilez une image de base, puis intégrez vos packages et compilez, puis effectuez leur configuration et compilez encore, puis ... Il est inutile de tout faire d'un coup : si la compilation foire (et elle le fera, faites-moi confiance), vous galérerez pour trouver l'origine du bug. Dans la continuité de ce conseil, je vous conseille également de sauvegarder l'intégralité du buildroot après une compilation réussie. Ainsi, si la prochaine compilation plante et que vous ne trouvez pas l'origine du bug, vous pourrez toujours reprendre depuis votre sauvegarde plutôt que de tout recommencer depuis le début.
En suivant ce conseil, notre premier objectif sera de parvenir à la compilation de l'image officielle. Traduction : l'image que vous allez compiler, c'est celle qui est disponible en téléchargement sur le site officiel d'OpenWRT (ex. : openwrt-wrt54g-squashfs.bin). Cela n'a pas d'autres intérêts que de se faire la main.
On y va ! 🙂
D'abord, on met à jour la liste des paquets disponibles :
backfire_10.03$ ./scripts/feeds update -a && ./scripts/feeds install -a |
Ensuite, on efface les fichiers de configuration de la compilation (créés automatiquement par make menuconfig, nous y reviendrons) :
backfire_10.03$ rm .config && rm .config.old |
On récupère le fichier de configuration officiel (ici : déclinaison brcm47xx) et on le met en place :
backfire_10.03$ wget http://downloads.openwrt.org/backfire/10.03/brcm47xx/OpenWrt.config && mv OpenWrt.config .config |
Par défaut, tous les packages sont compilés (en module) puis exclus de l'image finale. Pour éviter cette perte de temps lors de la compilation, on va demander à ce que les packages qui ne seront pas intégrés à l'image ne soient pas compilés. Pour cela, on commente les lignes qui finissent par "=m" (module) avec la commande suivante :
backfire_10.03$ sed -i 's,^.*=m,# & is not set,g' ./.config |
On lance la compilation :
backfire_10.03$ make |
Je vous rappelle qu'en cas de bug, il est possible d'utiliser l'option "V=99" qui permet d'avoir des indices quand à l'origine du plantage. Si vous avez un processeur multicœur, je vous rappelle qu'il est possible d'utiliser l'option "-j <nombre de cœurs + 1> .
Le système va compiler le noyau, busybox et les packages installés par défaut. Vous êtes autorisé à aller vous chercher un café 8) .
Si la compilation réussie (et il n'y a pas de raisons pour qu'elle ne réussisse pas), vous trouverez les images, au format squashfs, dans le dossier ./bin/brcm47xx .
Félicitation, vous venez de créer votre propre image pour votre routeur ! Elle doit avoir une taille équivalente à celle que l'on peut télécharger sur le site officiel. Vous pouvez essayer votre image sur votre routeur mais ce n'est vraiment pas la peine voire une mauvaise idée : la mémoire étant de la flash, elle est plus limitée qu'un disque dur en terme de nombre de cycles d'écriture possibles malgré les algorithmes de lissage de l'usure. Essayer une image qui n'a aucun intérêt use le matériel plus qu'autre chose.
Nous allons maintenant créer une image personnalisée.
Créer une image vraiment personnelle
Comme fil rouge, je vous propose de créer une image personnalisée contenant (presque) toutes les manipulations que je vous ai présentées sur ce blog : un résolveur DNS, un serveur NTP, ... Cela vous permettra de vous faire la main et de créer votre image bien à vous par la suite.
Si vous ne comprenez pas la raison d'être d'une modification ou si vous voulez plus d’explications, reportez-vous au billet qui traite de la modification en question. Ils sont tous dans la catégorie "OpenWRT".
Modifier les options du noyau Linux
Si vous voulez consulter et/ou modifier les options du noyau, utilisez la commande :
backfire_10.03$ make kernel_menuconfig |
Une interface semi-graphique s'affichera au bout de quelques instants. Les options actuelles me convenant, je n'ai rien modifié. Mais il est toujours intéressant et instructif de regarder ce qui est déjà fait.
C'est également dans ce menu que vous pouvez, par exemple, activer le support du contrôle par groupe des processus, activez le support de systèmes de fichiers supplémentaires ou bien encore saisir un nom personnalisé pour votre noyau (la classe 8) pour frimer devant les copains).
Si vous faites des modifications, mettez "Exit" (bouton droit de la souris pour y accéder) et répondez "Yes" à la question de la sauvegarde de vos paramètres.
Ajouter/Supprimer des packages
Rien de plus facile : il suffit d'utiliser la commande :
backfire_10.03$ make menuconfig |
Dans l'interface semi-graphique qui s'affiche, vous pouvez ajouter ou supprimer des packages.
Si vous n'avez pas un usage spécifique, vous pouvez désactiver la génération du SDK et de l'Image Builder. Vous gagnerez ainsi du temps à la compilation.
Pour notre part, nous activerons :
- etherwake dans Network.
- tcpdump-mini dans Network.
- djbdns.-dnscache dans Network -> IP adresses and Names.
- ddns-scripts dans Network -> IP adresses and Names.
- ntpd dans Network -> Time Synchronization.
- iptables-mod-conntrack-extra dans Network -> Iptables.
- luci-i18n-french dans LuCi -> Translations.
C'est également le moment de décocher les logiciels que vous ne voulez pas afin qu'ils ne soient pas intégrés à l'image.Pour notre part, nous supprimerons les packages suivants :
- ppp dans Network.
- ppp-mod-pppoe dans Network.
- kmod-ppp dans Kernel Modules -> Network support.
- kmod-pppoe dans Kernel Modules -> Network support.
Pour sauvegarder vos paramètres, mettez "Exit" (bouton droit de la souris pour y accéder) et répondez "Yes" à la question de la sauvegarde de vos paramètres.
À moins que vous ne teniez à désactiver tous les autres composants qui vont être compilés en modules mais pas intégrés à l'image à la main, utilisez la commande que nous avons déjà vu :
backfire_10.03$ sed -i 's,^.*=m,# & is not set,g' ./.config |
Ces deux étapes (sauvegarde des paramètres et désactivations des modules) sont à faire avant chaque compilation si vous avez modifié quelque chose dans l’interface semi-graphique.
Vous pouvez compilez avec make. N'oubliez pas de faire un make clean avant ! Je ne vous le rappellerai plus à partir de maintenant, il faudra donc y penser !
Deuxième pause café ! 😀
Vous devriez obtenir une image d'une taille de 3Mo/3.1Mo environ . Il est encore inutile de tenter de l'installer sur votre routeur pour les raisons déjà évoquées ci-dessus.
Ajouter votre package personnel / vos modifications aux sources
Si vous avez créé/porté un logiciel pour OpenWRT, c'est le moment de le mettre en place dans l'arborescence avec son makefile et tout et tout. Je vous regarde faire 😉 .
Ensuite, vous n'avez plus qu'à le sélectionner dans l’interface semi-graphique de configuration.
C'est également le moment de faire les modifications que vous voulez dans les sources. Par exemple, dans un billet, je vous avais montré comment optimiser la sécurité de dropbear et l'espace qu'il occupe dans la flash. C'est le moment d'appliquer ces modifications si vous le désirez. Je vous laisse aller les chercher dans l'article d'origine : OpenWRT : sécuriser l’accès SSH - Compiler dropbear pour n’autoriser que 3 essais de mot de passe par connexion.
Vous pouvez compiler et fabriquer l'image. Là encore, il me paraît inutile de l'essayer. Si vous voulez juste tester la compilation d'un package personnel, vous pouvez compiler uniquement ce package avec la commande :
backfire_10.03$ make package/dropbear/compile |
Modifiez les options de busybox
Busybox est très personnalisable. Sa configuration se fait encore via le menu obtenu via la commande :
backfire_10.03$ make menuconfig |
Pour cela, il suffit d'aller dans Base system -> Busybox -> Configuration. Enjoy !
Dans le cadre de ce tutoriel, nous allons :
- Désactiver "rdate" dans Linux System Utilities.
- Activer "history saving" dans Busybox Settings -> Busybox Library Tuning. Cela permet de sauvegarder l'historique des commandes saisies par chaque utilisateur entre deux connexions. Cela peut être utile.
À vous de continuer à personnaliser votre installation. Vous pouvez compiler mais je ne pense pas que cela soit nécessaire vu le peu de modifications que nous avons apportées.
Modifier des options générales
En dehors de Busybox, il reste encore plein d'options à explorer.
Dans le cadre de notre fil rouge, nous allons commencer par changer la langue par défaut de LuCi. Pour cela, cochez "Image configuration", appuyez sur Entrée et cochez "Preinit configuration option". Dans "Default Language", tapez "fr" et validez.
Maintenant, nous allons supprimer luci-admin-mini. Nous ne pouvons pas le faire depuis le menu de configuration car d'autres packages dépendent de lui. Nous allons forcer sa désinstallation en éditant directement le fichier .config, chose qu'il faut éviter de faire au maximum.
backfire_10.03$ vi .config |
Cherchez la ligne suivante :
CONFIG_PACKAGE_luci-admin-mini=y |
et commentez-là :
# CONFIG_PACKAGE_luci-admin-mini=y is not set |
Appliquons le même raisonnement pour le package "luci-i18n-english".
Enregistrer vos modifications et quittez vi.
Libre à vous d'explorer les autres options.
Vous pouvez compiler l'image. Et si vous le souhaitez, vous pouvez même installer cette image sur votre routeur.
Note : Oui, j'ai lu la première ligne du fichier .config qui dit de ne pas le modifier à la main. Mais, n'ayant pas trouvé les packages qui dépendent de luci-admin-mini et de luci-i18n-english, je n'ai pas vraiment le choix. De plus, ce conseil est donné dans le cas où vous activez un logiciel sans activer ses dépendances (ex. : activer djbdns-dnscache sans activer djbdns-base). Autrement dit : si vous connaissez les dépendances d'un package que vous voulez installer, vous pouvez modifier le .config à la main sans problèmes.
Configurer les logiciels
Logiciels configurables avec uci
Il suffit de créer des scripts. Ces scripts seront placés dans un dossier files/etc/uci-defaults à la racine du buildroot. Tous les scripts se trouvant dans ce dossier seront exécutés une seule fois après le flashage du routeur quelque soit leur nom. Voici, à titre d'exemple, les scripts destinés à configurer les logiciels que nous avons installés ci-dessus :
backfire_10.03/files/etc/uci-defaults/ddns (pour ddns-scripts et DynDNS) :
#!/bin/sh # DDNS parametres uci set ddns.myddns.enabled=1 2>/dev/null uci set ddns.myddns.interface=wan 2>/dev/null uci set ddns.myddns.service_name=dyndns.org 2>/dev/null uci set ddns.myddns.domain=<votre ndd> 2>/dev/null uci set ddns.myddns.username=<votre login sur dynDNS> 2>/dev/null uci set ddns.myddns.ip_source=network 2>/dev/null uci set ddns.myddns.ip_network=wan 2>/dev/null uci set ddns.myddns.force_interval=24 2>/dev/null uci set ddns.myddns.force_unit=hours 2>/dev/null uci set ddns.myddns.check_interval=10 2>/dev/null uci set ddns.myddns.check_unit=minutes 2>/dev/null # On valide tout uci commit 2>/dev/null |
Vous pouvez également marquer en dur votre mot de passe (uci set ddns.myddns.password=XXXX 2>/dev/null), mais je ne vous le conseille pas. Même si votre compte DynDNS n'est pas le compte le plus précieux que vous ayez, ce n'est pas une bonne pratique.
Dans la même veine, la bonne pratique voudrait que vous mettiez votre IP à jour sur DynDNS en utilisant le protocole HTTPS. C'est possible, voir le wiki d'OpenWRT à ce sujet mais les libs prennent beaucoup de place et je n'ai pas assez d'espace pour les accueillir.
Si vous êtes derrière une box ou qu'autre chose fait que l'interface wan (eth0.1) n'a pas une ip publique, il vous faudra utiliser un service externe pour récupérer votre ip publique et remplacer ces deux lignes :
uci set ddns.myddns.ip_source=network 2>/dev/null uci set ddns.myddns.ip_network=wan 2>/dev/null |
par
uci set ddns.myddns.ip_source=web 2>/dev/null uci set ddns.myddns.ip_url=http://automation.whatismyip.com/n09230945.asp 2>/dev/null |
backfire_10.03/files/etc/uci-defaults/dnscache (pour djbdns-dnscache) :
#!/bin/sh # On configure dnscache uci set djbdns.@dnscache[0].interface=lan 2>/dev/null uci set djbdns.@dnscache[0].defaultallowif=lan 2>/dev/null uci set djbdns.@dnscache[0].forwardonly=0 2>/dev/null # On valide tout uci commit 2>/dev/null # On met les bonnes autorisations sur le script d'init de dnscache chmod ugo+x /etc/init.d/dnscache 2>/dev/null # dnscache est déjà pris en compte par hotplugd, il n'a pas besoin d'init pour # se lancer rm -f /etc/rc.d/S65dnscache 2>/dev/null |
ATTENTION : dnscache est pris en charge par hotplugd uniquement si votre interface wan est configurée avec DHCP. Dans le cas d'une IP statique sur l'interface wan et d'après mes tests, hotplugd n'agit pas et init est nécessaire. Si vous êtes dans ce cas, ne supprimez pas le script d'init.
backfire_10.03/files/etc/uci-defaults/dnsmasq (pour dnsmasq) :
#!/bin/sh # On désactive la fonctionnalité forward DNS de dnsmasq uci set dhcp.@dnsmasq[0].port=0 2>/dev/null # On valide tout uci commit 2>/dev/null # On met les bonnes autorisations sur le script d'init de dnsmasq chmod ugo+x /etc/init.d/dnsmasq 2>/dev/null |
backfire_10.03/files/etc/uci-defaults/dropbear (pour dropbear) :
#!/bin/sh # On désactive l'authentification par mot de passe uci set dropbear.@dropbear[0].PasswordAuth=off 2>/dev/null # On valide tout uci commit 2>/dev/null |
backfire_10.03/files/etc/uci-defaults/firewall (pour configurer, un peu, netfilter) :
L'idée, c'est de définir, intégralement, nos propres règles, de A à z. Or, des règles sont chargées à chaque reboot du routeur à partir du fichier /etc/config/firewall. Plusieurs méthodes s'offrent, comme d'habitude, à vous : soit vous éditez /etc/config/firewall qui est dans un format classique d'uCi pour y intégrer vos règles. Soit vous supprimez ce fichier de l'image et vous définisez, dans un script d'init, les règles de filtrage qu'il convient d'appliquer. Ayant déjà un script standard qui charge mes règles de filtrage qui est pas trop mauvais, j'ai choisi cette deuxième solution. backfire_10.03/files/etc/uci-defaults/firewall contient donc :
#!/bin/sh # On supprime les regles par defaut stockees dans uci rm -rf /etc/config/firewall 2>/dev/null # On met les bonnes autorisations sur le script d'init du firewall chmod ugo+x /etc/init.d/firewall 2>/dev/null |
backfire_10.03/files/etc/uci-defaults/ntpd (pour configurer, un peu, ntpd) :
#!/bin/sh # ntpd est deja lance par hotplug.d, nous n'avons pas besoin qu'il soit lance par init rm -f /etc/rc.d/S65ntpd 2>/dev/null |
ATTENTION : ntpd est pris en charge par hotplugd uniquement si votre interface wan est configurée avec DHCP. Dans le cas d'une IP statique sur l'interface wan et d'après mes tests, hotplugd n'agit pas et init est nécessaire. Si vous êtes dans ce cas, ne supprimez pas le script d'init de ntpd.
backfire_10.03/files/etc/uci-defaults/system (pour configurer les options générales du système) :
#!/bin/sh # Nom du routeur uci set system.@system[0].hostname="Nouveau_Nom" 2>/dev/null echo "Nouveau_Nom" > /proc/sys/kernel/hostname 2>/dev/null # Fuseau horaire uci set system.@system[0].zonename=Europe/Paris 2>/dev/null uci set system.@system[0].timezone=CET-1CEST,M3.5.0,M10.5.0/3 2>/dev/null # On finit de supprimer rdate uci del system.@rdate[0] 2>/dev/null rm -f /etc/hotplug.d/iface/40-rdate 2>/dev/null # On valide tout uci commit 2>/dev/null |
backfire_10.03/files/etc/uci-defaults/network (pour configurer les interfaces réseau) :
#!/bin/sh # Configuration interface LAN uci set network.lan.proto=static uci set network.lan.netmask=255.255.255.0 uci set network.lan.ipaddr=192.168.0.254 uci set network.lan.dns=192.168.0.254 #dnscache # Configuration interface WAN uci set network.wan.proto=static uci set network.wan.ipaddr=192.168.1.253 uci set network.wan.netmask=255.255.255.0 uci set network.wan.gateway=192.168.1.254 uci set network.wan.dns=192.168.0.254 #dnscache # On valide tout uci commit 2>/dev/null |
Je pense que les interfaces peuvent également être configurées depuis le .config puisqu'on peut y lire les lignes suivantes :
CONFIG_UCI_PRECONFIG_network_lan_dns="" CONFIG_UCI_PRECONFIG_network_lan_proto="static" CONFIG_UCI_PRECONFIG_network_lan_gateway="" CONFIG_UCI_PRECONFIG_network_lan_netmask="255.255.255.0" CONFIG_UCI_PRECONFIG_network_lan_ipaddr="192.168.1.1" |
Mon test a échoué mais je pense que cela est dû à un autre paramètre que j'ai activé en même temps.
On peut même configurer l'adresse que prend le bootloader :
CONFIG_TARGET_PREINIT_IFNAME="" CONFIG_TARGET_PREINIT_IP="192.168.1.1" CONFIG_TARGET_PREINIT_NETMASK="255.255.255.0" CONFIG_TARGET_PREINIT_BROADCAST="192.168.1.255" |
Vu le nombre de fois où ce bootloader et son serveur TFTP m'ont sauvés la mise, je n'ai pas essayé de changer ces paramètres.
Vous avez compris le principe et vous pouvez créer vos propres scripts pour les logiciels que vous avez installés ou modifier les scripts ci-dessous afin de configurer plus finement certains logiciels (dnsmasq par exemple).
Logiciels ne pouvant pas être configurés avec uci
Il y a des logiciels qui possèdent leurs propres fichiers de configuration. Pour eux, il suffit de placer les fichiers dans l'arborescence, comme si vous étiez sur votre routeur. Par exemple, si à la fin du flashage, vous avez besoin qu'un fichier /etc/xxxx soit créez, alors placez-le dans backfire_10.03/files/etc/xxxx et il sera mis au bon endroit. Si le fichier existe déjà car il est fourni par un logiciel, par exemple, il sera écrasé par votre version.
Il y a une autre manière de procéder : mettre le fichier dans le package qui lui correspond. Exemple : vous avez un fichier de configuration pour ntpd (/etc/ntp.conf), alors vous le mettez dans feeds/packages/net/ntpd/files/etc/ntp.conf. Pour les packages par défaut (dropbear par exemple), le chemin est différent : packages/dropbear ...
Personnellement, j'ai choisi de tout mettre dans un même dossier car cela simplifie la maintenance.
Voici donc les fichiers que j'ai rajoutés.
backfire_10.03/files/etc/banner (le message de bienvenue lors d'une connexion SSH) :
Salut ! |
backfire_10.03/files/etc/ntp.conf (configuration de ntpd) :
server ntp-p1.obspm.fr iburst prefer server canon.inria.fr iburst restrict default ignore restrict ntp-p1.obspm.fr mask 255.255.255.255 nomodify notrap nopeer noquery restrict canon.inria.fr mask 255.255.255.255 nomodify notrap nopeer noquery restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap nopeer restrict 127.0.0.1 driftfile /etc/ntp.drift |
backfire_10.03/files/etc/services (nécessaire au bon fonctionnement de ntpd) :
Sans lui, vous aurez des messages d'erreur du genre "getaddrinfo: "ntp-p1.obspm.fr" invalid host address, ignored", "restrict: error in address 'ntp-p1.obspm.fr' on line 6. Ignoring...", "Deferring DNS for ntp-p1.obspm.fr 1" et "getaddrinfo(127.0.0.1) failed: Servname not supported for ai_socktype".
ntp 123/udp # Network Time Protocol ntp 123/tcp # Network Time Protocol |
backfire_10.03/files/etc/passwd (permet de rajouter des comptes utilisateur sans droits d'administration (ici : guest)) :
root:*:0:0:root:/root:/bin/ash guest:*:65533:65533:guest:/home/guest:/bin/ash nobody:*:65534:65534:nobody:/var:/bin/false daemon:*:65534:65534:daemon:/var:/bin/false |
backfire_10.03/files/etc/group (permet de rajouter des groupes utilisateurs destinés à accueillir les comptes standards) :
root:x:0: guestg:x:65533: nogroup:x:65534: |
Authentification par clé publique/privée :
Mettez la clé publique de root dans backfire_10.03/files/etc/dropbear/authorized_keys si vous voulez utiliser l'authentification à clé publique pour vous connecter avec le compte root via SSH.
Pour chaque compte utilisateur créé, mettez sa clé publique dans un fichier ".ssh/authorized_keys" placé dans son home directory. Par exemple, pour le compte guest créé ci-dessous, la clé publique devra se trouver dans backfire_10.03/files/home/guest/.ssh/authorized_keys .
Si vous voulez utiliser l'authentification par clé publique pour vos comptes sans droits, ne changez surtout pas le propriétaire de leurs home directory (pas de chown -R guest:guestp /home/guest dans un script dans l'image). En effet, pour une raison qui m'échappe, l'authentification échoue sinon. Mais, dans ce cas-là, l'utilisateur n'est pas vraiment chez lui : il ne peut pas créer un répertoire par exemple. Heureusement, vous pouvez changer le proprietaire du home directory de chacun de vos comptes utilisateurs après le flashage et aucun problème n'apparait.
backfire_10.03/files/etc/hotplug.d/iface/15-dnsd (script permettant de relancer dnscache en cas de coupure de l'accès au net) :
#!/bin/sh if [ "$INTERFACE" = "wan" ] then DNS_RUNNING=`ps | grep dnscache | grep -v grep` case "${ACTION:-ifup}" in ifup) [ -z "$DNS_RUNNING" ] && /etc/init.d/dnscache start ;; ifdown) [ -n "$DNS_RUNNING" ] && /etc/init.d/dnscache stop ;; esac fi |
ATTENTION : Il semble que ce script est inutile si vous êtes en IP statique sur l'interface WAN.
backfire_10.03/files/etc/init.d/dnscache (script d'init pour dnscache modifié pour logger les démarrages/arrêts du démon) :
ATTENTION : Le script n'est pas donné ici dans son intégralité. Attention donc aux copier/coller malheureux.
#!/bin/sh /etc/rc.common # Copyright (C) 2007 OpenWrt.org [...] start() { echo "Starting $DESC: $NAME" logger starting dnscache config_load djbdns config_foreach get_userids global mkdir -p $ROOT cp -fa /etc/dnscache/* $ROOT rm -f $ROOT/resolvers rm -f $ROOT/ignoreip chown -R $UID:$GID $ROOT config_foreach start_dnscache dnscache } [...] stop() { echo -n "Stopping $DESC: $NAME" logger stopping dnscache kill `pidof $NAME|sed "s/$$//g"` > /dev/null 2>&1 echo " ." } restart() { echo "Restarting $DESC: $NAME... " stop sleep 2 start } |
backfire_10.03/files/etc/init.d/dnsmasq (script d'init pour dnsmasq modifié afin d'indiquer uniquement notre résolveur DNS local) :
ATTENTION : Le script n'est pas donné ici dans son intégralité. Attention donc aux copier/coller malheureux.
#!/bin/sh /etc/rc.common
# Copyright (C) 2007 OpenWrt.org
START=60
DNS_SERVERS=""
DOMAIN=""
[...]
start() {
include /lib/network
scan_interfaces
config_load dhcp
args=""
config_foreach dnsmasq dnsmasq
config_foreach dhcp_host_add host
config_foreach dhcp_boot_add boot
config_foreach dhcp_mac_add mac
config_foreach dhcp_vendorclass_add vendorclass
config_foreach dhcp_userclass_add userclass
config_foreach dhcp_circuitid_add circuitid
config_foreach dhcp_remoteid_add remoteid
config_foreach dhcp_subscrid_add subscrid
config_foreach dhcp_domain_add domain
config_foreach dhcp_add dhcp
/usr/sbin/dnsmasq $args && {
rm -f /tmp/resolv.conf
[ -n "$DOMAIN" ] && echo "search $DOMAIN" >> /tmp/resolv.conf
DNS_SERVERS="192.168.1.1" #A REMPLACER SI VOTRE ROUTEUR A UNE IP LAN DIFFERENTE !
for DNS_SERVER in $DNS_SERVERS ; do
echo "nameserver $DNS_SERVER" >> /tmp/resolv.conf
done
}
}
stop() {
[ -f /tmp/resolv.conf ] && {
rm -f /tmp/resolv.conf
ln -s /tmp/resolv.conf.auto /tmp/resolv.conf
}
killall dnsmasq
return 0
}
|
backfire_10.03/files/etc/init.d/firewall (pour configurer, un peu plus, netfilter) :
À adapter à vos besoins et à complèter car il manque encore des choses (séparation tcp, udp, icmp et filtrage différentié, éviter d'autoriser des connexions sur le simple fait qu'elles sont établies mais préciser le port source, ...)
#!/bin/sh /etc/rc.common START=45 start() { #On fait le menage stop ############### TABLE FILTER ##On créer les chaînes correspondant à nos zones iptables -t filter -N lan-lan iptables -t filter -N lan-bas iptables -t filter -N lan-wan iptables -t filter -N bas-lan iptables -t filter -N bas-bas iptables -t filter -N bas-wan iptables -t filter -N wan-lan iptables -t filter -N wan-bas iptables -t filter -N wan-wan ##On redirige les paquets vers nos chaines iptables -t filter -A INPUT -i br-lan -j lan-bas iptables -t filter -A INPUT -i lo -j bas-bas iptables -t filter -A INPUT -i eth0.1 -j wan-bas iptables -t filter -A FORWARD -i br-lan -o br-lan -j lan-lan iptables -t filter -A FORWARD -i br-lan -o eth0.1 -j lan-wan iptables -t filter -A FORWARD -i eth0.1 -o eth0.1 -j wan-wan iptables -t filter -A FORWARD -i eth0.1 -o br-lan -j wan-lan iptables -t filter -A OUTPUT -o br-lan -j bas-lan iptables -t filter -A OUTPUT -o lo -j bas-bas iptables -t filter -A OUTPUT -o eth0.1 -j bas-wan ##On traite nos chaines #Du lan vers le routeur d'abord #Etablies/relatives iptables -t filter -A lan-bas -m state --state RELATED,ESTABLISHED -j ACCEPT #SSH iptables -t filter -A lan-bas -s 192.168.0.0/24 -d 192.168.0.254/32 -p tcp -m state --state NEW -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT #DNS iptables -t filter -A lan-bas -s 192.168.0.0/24 -d 192.168.0.254/32 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT iptables -t filter -A lan-bas -s 192.168.0.0/24 -d 192.168.0.254/32 -p tcp -m state --state NEW -m tcp --dport 53 --tcp-flags SYN,RST,ACK SYN -j ACCEPT #DHCP iptables -t filter -A lan-bas -p udp -m state --state NEW -m udp --sport 68 --dport 67 -j ACCEPT #HTTP iptables -t filter -A lan-bas -s 192.168.0.0/24 -d 192.168.0.254/32 -p tcp -m state --state NEW -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT #NTP iptables -t filter -A lan-bas -s 192.168.0.0/24 -d 192.168.0.254/32 -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT #ICMP (echo request) iptables -t filter -A lan-bas -s 192.168.0.0/24 -d 192.168.0.254/3 -p icmp -m state --state NEW --icmp-type 8 -j ACCEPT #Du lan vers internet ensuite #Etablies/relatives iptables -t filter -A lan-wan -m state --state RELATED,ESTABLISHED -j ACCEPT #FTP iptables -t filter -A lan-wan -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 20 --tcp-flags SYN,RST,ACK SYN -j ACCEPT iptables -t filter -A lan-wan -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 21 --tcp-flags SYN,RST,ACK SYN -j ACCEPT #SSH iptables -t filter -A lan-wan -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT #HTTP/HTTPS iptables -t filter -A lan-wan -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT iptables -t filter -A lan-wan -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -j ACCEPT #SMTPS/SMTP auth iptables -t filter -A lan-wan -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 465 --tcp-flags SYN,RST,ACK SYN -j ACCEPT iptables -t filter -A lan-wan -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 587 --tcp-flags SYN,RST,ACK SYN -j ACCEPT #POP3S iptables -t filter -A lan-wan -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 995 --tcp-flags SYN,RST,ACK SYN -j ACCEPT #SVN iptables -t filter -A lan-wan -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 3690 --tcp-flags SYN,RST,ACK SYN -j ACCEPT iptables -t filter -A lan-wan -s 192.168.0.0/24 -p udp -m state --state NEW -m udp --dport 3690 -j ACCEPT #IRC iptables -t filter -A lan-wan -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 6667 --tcp-flags SYN,RST,ACK SYN -j ACCEPT iptables -t filter -A lan-wan -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 6697 --tcp-flags SYN,RST,ACK SYN -j ACCEPT #Plesk iptables -t filter -A lan-wan -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 8443 --tcp-flags SYN,RST,ACK SYN -j ACCEPT #Git iptables -t filter -A lan-wan -s 192.168.0.0/24 -p tcp -m state --state NEW -m tcp --dport 9418 --tcp-flags SYN,RST,ACK SYN -j ACCEPT iptables -t filter -A lan-wan -s 192.168.0.0/24 -p udp -m state --state NEW -m udp --dport 9418 -j ACCEPT #ICMP (echo request) iptables -t filter -A lan-wan -s 192.168.0.0/24 -p icmp -m state --state NEW --icmp-type 8 -j ACCEPT #Du routeur vers le lan #Etablies/relatives iptables -t filter -A bas-lan -m state --state RELATED,ESTABLISHED -j ACCEPT #DHCP iptables -t filter -A bas-lan -p udp -m state --state NEW -m udp --sport 67 --dport 68 -j ACCEPT #Boucle locale iptables -t filter -A bas-bas -j ACCEPT #Du routeur vers internet #Etablies/relatives iptables -t filter -A bas-wan -m state --state RELATED,ESTABLISHED -j ACCEPT #FTP dans tunnel SSH iptables -t filter -A bas-wan -p tcp -m state --state NEW -m tcp --dport 20 --tcp-flags SYN,RST,ACK SYN -j ACCEPT iptables -t filter -A bas-wan -p tcp -m state --state NEW -m tcp --dport 21 --tcp-flags SYN,RST,ACK SYN -j ACCEPT #SSH iptables -t filter -A bas-wan -p tcp -m state --state NEW -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT #DNS iptables -t filter -A bas-wan -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT iptables -t filter -A bas-wan -p tcp -m state --state NEW -m tcp --dport 53 --tcp-flags SYN,RST,ACK SYN -j ACCEPT #HTTP/HTTPS pour opkg/HTTP dans tunnel SSH iptables -t filter -A bas-wan -p tcp -m state --state NEW -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT iptables -t filter -A bas-wan -p tcp -m state --state NEW -m tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -j ACCEPT #NTP iptables -t filter -A bas-wan -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT #SMTPS/SMTP auth pour tunnel SSH iptables -t filter -A bas-wan -p tcp -m state --state NEW -m tcp --dport 465 --tcp-flags SYN,RST,ACK SYN -j ACCEPT iptables -t filter -A bas-wan -p tcp -m state --state NEW -m tcp --dport 587 --tcp-flags SYN,RST,ACK SYN -j ACCEPT #POP3S dans tunnel SSH iptables -t filter -A bas-wan -p tcp -m state --state NEW -m tcp --dport 995 --tcp-flags SYN,RST,ACK SYN -j ACCEPT #SVN iptables -t filter -A bas-wan -p tcp -m state --state NEW -m tcp --dport 3690 --tcp-flags SYN,RST,ACK SYN -j ACCEPT iptables -t filter -A bas-wan -p udp -m state --state NEW -m udp --dport 3690 -j ACCEPT #IRC dans tunnel SSH iptables -t filter -A bas-wan -p tcp -m state --state NEW -m tcp --dport 6667 --tcp-flags SYN,RST,ACK SYN -j ACCEPT iptables -t filter -A bas-wan -p tcp -m state --state NEW -m tcp --dport 6697 --tcp-flags SYN,RST,ACK SYN -j ACCEPT #Plesk pour tunnel SSH iptables -t filter -A bas-wan -p tcp -m state --state NEW -m tcp --dport 8443 --tcp-flags SYN,RST,ACK SYN -j ACCEPT #Git iptables -t filter -A bas-wan -p tcp -m state --state NEW -m tcp --dport 9418 --tcp-flags SYN,RST,ACK SYN -j ACCEPT iptables -t filter -A bas-wan -p udp -m state --state NEW -m udp --dport 9418 -j ACCEPT #ICMP (echo request) iptables -t filter -A bas-wan -p icmp -m state --state NEW --icmp-type 8 -j ACCEPT #D'internet vers le lan #Etablies/relatives iptables -t filter -A wan-lan -m state --state RELATED,ESTABLISHED -j ACCEPT #D'internet vers le routeur enfin #Etablies/relatives iptables -t filter -A wan-bas -m state --state RELATED,ESTABLISHED -j ACCEPT #SSH iptables -t filter -A wan-bas -p tcp --dport 22 -m state --state NEW -m recent --name ATTACKER_SSH --rsource --update --seconds 600 --hitcount 2 -j DROP iptables -t filter -A wan-bas -p tcp --dport 22 -m state --state NEW -m recent --name ATTACKER_SSH --rsource --set iptables -t filter -A wan-bas -p tcp --dport 22 -m state --state NEW -j ACCEPT ##On change les politiques d'accés iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP ##############TABLE NAT ##On créer des chaines qui correspondent à nos zones iptables -t nat -N prerouting-lan iptables -t nat -N prerouting-wan iptables -t nat -N postrouting-lan iptables -t nat -N postrouting-wan ##On redirige les paquets dans nos chaines #C'est ici que l'on peut rediriger des ports (ex. : proxy transparent, on redirige port 80/443 -> 8080) iptables -t nat -A PREROUTING -i br-lan -j prerouting-lan #C'est ici que l'on fait le DNAT (ex. : monter un serveur web sur le LAN, accessible sur internet) iptables -t nat -A PREROUTING -i eth0.1 -j prerouting-wan iptables -t nat -A POSTROUTING -o br-lan -j postrouting-lan #C'est ici que l'on fait le SNAT ou MASQUERADE si ip dynamique iptables -t nat -A POSTROUTING -o eth0.1 -j postrouting-wan ##On traite nos chaines ##SNAT/masquerade iptables -t nat -A postrouting-wan -s 192.168.0.0/24 -j MASQUERADE ##DNAT # Torrent #iptables -t nat -A prerouting-wan -p tcp -m tcp --dport 4444 -j DNAT --to-destination 192.168.1.138:4444 #iptables -t nat -A prerouting-wan -p udp -m udp --dport 4444 -j DNAT --to-destination 192.168.1.138:4444 ##############TABLE MANGLE ##Cette table sert pour la modification des paquets (ex:. marquer les paquets pour faire de la QoS ensuite) ##Nous verrons cela plus tard ##############TABLE RAW ##Cette table sert à indiquer les connections qui ne doivent pas être suivies par conntrack echo "Firewall started" logger Firewall started } stop() { ############### TABLE FILTER ##On change les politiques d'accés iptables -t filter -P INPUT ACCEPT iptables -t filter -P FORWARD ACCEPT iptables -t filter -P OUTPUT ACCEPT ##On fait le menage iptables -t filter -F iptables -t filter -X ##############TABLE NAT ##On change les politiques d'accés iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING ACCEPT ##On fait le menage iptables -t nat -F iptables -t nat -X #NAT iptables -t nat -A POSTROUTING -o eth0.1 -s 192.168.0.0/24 -j MASQUERADE ##############TABLE MANGLE ##On change les politiques d'accés iptables -t mangle -P PREROUTING ACCEPT iptables -t mangle -P INPUT ACCEPT iptables -t mangle -P FORWARD ACCEPT iptables -t mangle -P OUTPUT ACCEPT iptables -t mangle -P POSTROUTING ACCEPT ##On fait le menage iptables -t mangle -F iptables -t mangle -X ##############TABLE RAW ##On change les politiques d'accés iptables -t raw -P PREROUTING ACCEPT iptables -t raw -P OUTPUT ACCEPT ##On fait le menage iptables -t raw -F iptables -t raw -X echo "Rules cleaned and firewall stopped" logger Rules cleaned and firewall stopped } restart() { start echo "Firewall restarted" logger Firewall restarted } reload() { start echo "Firewall reloaded" logger Firewall reloaded } |
À vous de continuer la configuration de votre système (ex. : VLAN). La méthode exposée ci-dessus fonctionne pour tous les fichiers.
Vous pouvez compiler puis essayer l'image ainsi générée. Tous vos logiciels doivent être configurés.
Si jamais vous avez une erreur durant la compilation
La liste ci-dessous est loin d'être exhaustive.
- N'avez-vous pas oublié de faire un make clean avant de compiler ? Faites-le et relancez la compilation en faisant un make clean au préalable.
- N'avez-vous pas oublié de faire un sed après avoir modifié une option avec make menuconfig ? Faites-le et relancez la compilation en faisant un make clean au préalable.
- Lancez la compilation avec le paramètre V=99, lisez le message d'erreur. C'est parfois tout bête (espace disque manquant (sisi ...), mauvaise saisie dans un makefile, ...).
Si rien n'améliore la situation, supprimez vos modifications récentes (d'où l'intérêt d'avoir fait des sauvegardes du buildroot à chaque étape concluante) et retenter la compilation sans oublier de faire un make clean. Si jamais quelque chose qui compilait avant ne compile plus, redémarrez votre ordinateur (sisi, ça arrive, même sous UNIX ...).
Ce qui vous reste à faire après le flashage
Le serveur SSH est fonctionnel et telnetd est déjà désactivé. Il est nécessaire d'attendre un peu pendant que dropbear génère la paire de clé du serveur. Durant ce laps de temps, le serveur rejette les tentatives de connexions sur le port SSH.
Changez le mot de passe de root, même si vous utilisez une authentification par clé publique avec la commande passwd.
Changez le mot de passe de chacun des comptes utilisateurs sans droits avec passwd <login> .
Définissez le mot de passe pour le DDNS avec la commande : uci set ddns.myddns.password=XXXX
Modifiez le proprietaire du home directory de chacun de vos comptes utilisateurs sans droits : chown -R login:groupe home_directory
Profit !
Sources
- "Introduction à Buildroot" - GNU/Linux Magazine/France hors série numéro 47 - Avril/mai 2010
- Image Generator (Image Builder) sur le wiki d'OpenWRT.
- OpenWrt Buildroot – Usage sur le wiki d'OpenWRT.
- Fonera 2 : Personnaliser, compiler, regénérer OpenWRT sur KubuntuBlog.
- Dropbear PublicKey Authentication for multiuser setup sur le forum d'OpenWRT.
- Problem adding tinyproxy in buildroot-ng sur le forum d'OpenWRT (pour uci-defaults).
- Fixed IP sur le forum d'OpenWRT (toujours pour uci-defaults)
- ntpd needs /etc/services sur le bugtracker d'OpenWRT
P.S. : Oui, j'ai remarqué les bugs de mon hébergeur (site inaccessible, billet qui disparait (ou plutôt base de données qui perd des données ...)). Ça devrait aller mieux ... peut-être 😀 .