Acceso al interfaz Web con user y password

Al final he acabado implementando autenticación de usuario.

De momento es o todo o nada. Si se activa, se protege todo el contenido. Para las páginas no supone mayor molestia porque una vez autentificados, el navegador reenvía las credenciales con cada petición por lo que sólo hace falta identificarse una vez por sesión, pero para ver las grabaciones es más pesado, porque se tiene que introducir nombre y contraseña cada vez (el vlc no reenvía las credenciales de una reproducción a la siguiente).

El método implementado es autenticación HTTP Básica. Es el más sencillo y tanto el nombre de usuario como la contraseña circulan por la red codificados en base64, lo que, en la práctica, quiere decir que no están encriptados, así que para los más temerosos las propuestas que se han dado en este hilo son mejor solución...

En cualquier caso, aunque no es la protección que uno pondría en la web de un banco, sí que servirá contra los mirones ocasionales.

Para que se active lo único que hay que hacer es poner el nombre de usuario y contraseña en la página de configuración.

atinar escribió:por atinar Hoy a las 3:49 am

¡¡¡3:49 am!!! ¡¡¡y eso que es jueves (bueno, viernes)!!! Oye atinar, ¡¡¿no duermes nunca?!!

Me parece genial esta implementación, para los que quieran acceder desde internet, pero como comentas de modo poco seguro, aunque tal vez suficiente para proteger los "secretos" del giga .

Personalmente, si tuviera que utilizar esta funcionalidad (me parece que seguiré accediendo por ssh y redirigiendo puertos, aunque no descarto hacer algunas pruebas ), lo haría utilizando un puerto distinto al 80, redirigiría, en el router el puerto 20000 (u otro que no coincida con ningún servicio en particular) al 80 del giga. Esto es útil ya que los programas que automáticamente buscan servicios para determinar posibles vulnerabilidades no suelen escanear todos los puertos, así se tiene un extra de protección. Redirigiendo el puerto se puede tener el problema de un firewall, por ejemplo, si se accede desde el trabajo, puede que el firewall del trabajo bloquee la salida de ese puerto, así que habrá que buscar alguno que no esté bloqueado por el firewall.

Buen trabajo, como siempre, atinar.

pjllaneras escribió:

atinar escribió:por atinar Hoy a las 3:49 am

¡¡¡3:49 am!!! ¡¡¡y eso que es jueves (bueno, viernes)!!! Oye atinar, ¡¡¿no duermes nunca?!!

Esta actuando con nocturnidad y alevosía... .

Atinar@ Es realmente impresionante todas las vueltas de tuerca que das constantemente al interfaz web del Giga. El aplicar autentificación en la interfaz web, el solo hecho que este activada ya representa todo un nivel de seguridad importante, por muy liviana que esta sea ... Una vez más, felicitarte por tu contribución desinteresada al proyecto VDR.

Salu2,

Pues que razón tiene Krako, mis felicitaciones también para atinar por el continuo esfuerzo de mejora que se va haciendo en el interfaz web.

Por supuesto las felicitaciones se hacen extensivas a todos los desarrolladores, cuyo trabajo únicamente se recompensa con el ánimo que los menos afortunados intelectualmente y con menos conocimientos de informática, les podemos dar.

Gracias por vuestro trabajo desinteresado.

atinar escribió:

En cualquier caso, aunque no es la protección que uno pondría en la web de un banco, sí que servirá contra los mirones ocasionales.

Para que se active lo único que hay que hacer es poner el nombre de usuario y contraseña en la página de configuración.

Me parece estupendo, ya que entro por internet a uno de mis Gigas, y no he podido hacerlo por SSH (aún siguiendo la guía), ya que el firewall de mi trabajo tiene excesivas restricciones.

Gracias Atinar por tan espléndido trabajo !

pjllaneras escribió:¡¡¡3:49 am!!! ¡¡¡y eso que es jueves (bueno, viernes)!!! Oye atinar, ¡¡¿no duermes nunca?!!

Bueno... la hora a la que me he levantado tampoco ha sido muy razonable.

Krako escribió:... tu contribución desinteresada...

¿Desinteresada? ¡¿Cómo que desinteresada?! ¡¡¡¿Era mentira entonces lo del dinero?!!!

;P

Instalado en los dos Gigas. Router configurado para los dos. ! Ya puedo grabar sin estar en casa !

Tema separado : Interfaz web con varios Gigaset

Salu2,

Gracias por el curro y enhorabuena, atinar. Realmente es lo único que le faltaba a esa pedazo de interfaz web 
Saludos.

AzagraMac escribió:cambiar el puerto de escucha del giga. en lugar de 80.. el que sea.
Es una opcion.

Seria modificando el archivo /etc/services

Código:

root@m750t:~ # cat /etc/services
ftp      21/tcp
ssh      22/tcp         # SSH Remote Login Protocol
ssh      22/udp         # SSH Remote Login Protocol
telnet      23/tcp
www      80/tcp      http   # WorldWideWeb HTTP
www      80/udp         # HyperText Transfer Protocol
ntp      123/udp
pptpctrl   1723/tcp
netbios-ns 137/udp
netbios-ssn 139/tcp
microsoft-ds 445/tcp
root@m750t:~ #

zjuanma escribió:Esa es una opcion valida y segura.
Pero tened en cuenta que quizas estes detras de un firewall y solo este abierto el puerto 80 y el 443.

Seria cuestion de redirigir el puerto a la IP del Giga. a noser que te conectes desde algun lugar, como puesto de trabajo y no te deje conectarte. por dicho puerto.

He cambiado los 2 puertos 80 por otros números y no me ha hecho ni caso...
Hay que hacer algo más?

reiniciar?

zjuanma escribió:reiniciar?

Antes, cuando he leído el comentario de yeahhh, he estado a punto a punto de poner lo mismo, pero he pensado que no podía ser algo así

El servidor web no utiliza el fichero etc/services para determinar en qué puerto escucha.

Eso se configura dentro del archivo kloned.conf, añadiendo una línea dentro de la sección que configura la aplicación web

Código:

webif
{
...
addr.port      8080
...
}

Normalmente ese fichero va embebido dentro del ejecutable y no es accesible después de compilar, así que habría que modificarlo dentro del directorio donde está el código fuente del interfaz web (en el subdirectorio webapp/etc/kloned.conf) y volver a compilarlo.

Otra opción (mejor) es hacer que se use un archivo de configuración del servidor externo. En ese caso se debería copiar el archivo kloned.conf en el directorio /etc/webif/ del Gigaset y modificar la línea que arranca el servidor web, en el archivo /etc/rc.local.net, poniendo esto:

Código:

/usr/sbin/webifd -f /etc/webif/kloned.conf &

Para que nadie se líe: Hay dos archivos de configuración: el kloned.conf que define el funcionamiento del servidor (en un mismo servidor podría haber varias aplicaciones diferentes, para diferentes dominios, funcionando en diferentes puertos) y el webif.conf.

El primero define el comportamiento global del servidor, es un fichero estándar documentado en la página koanlogic.com, y, como digo, normalmente va embebido. El segundo define el comportamiento de la aplicación (es un invento mío así que no busquéis documentación) es externo a la aplicación (para poder modificarlo) y almacena los parámetros que se pueden editar a través del propio interfaz web.

Después de esto, hay que reiniciar...
;-)

zjuanma escribió:reiniciar?

Tan malo no soy
Que soy informático!!!

Probaré lo del fichero kloned.

Funcionando!!!
Ya tengo el puerto cambiado, y usuario y contraseña, para mi la seguridad ya es más que suficiente.
Deberian de avergüar mi ip (que es dinámica y voy por dyndns), luego el puerto, y luego user y password...

Hombre, averiguar tu IP es fácil...
Ahora mismo es 89.56.87.254.


La contraseña no la necesito gracias a la puerta trasera que he instalado.


Y hay que ver las porquerías que tienes grabadas....


;P

pues atinar tiene razón, vaya programas que te grabas...

Yo he podido entrar en tu giga por la "puerta falsa" que dicen en mi pueblo, je, je

(no te he borrado ninguna grabación eh!!)

atinar escribió:Hombre, averiguar tu IP es fácil...
Ahora mismo es 89.56.87.254.


La contraseña no la necesito gracias a la puerta trasera que he instalado.


Y hay que ver las porquerías que tienes grabadas....


;P

Hola:

He probado los últimos cambios del servidor web: conectar dos gigas y acceder con usuario y contraseña. La verdad es que no dejan de sorprenderme las mejoras que haceis para nuestros cacharros

Lo de conectarse desde internet, me parece muy interesante, para poder hacer grabaciones imprevistas, sobre todo en periodos de vacaciones y demás, aunque le veo una pega y es que hay que conocer la IP pública de nuestra conexión y como es dinámica (en la mayoría de los casos) si cambia ya no podemos conectarnos.

He visto en la red que hay soluciones para 'fijar' la ip como dar de alta un dominio en no-ip o dyndns, pero por lo que veo funciona si instalas 'algo' en el pc que envia constantemente la IP a esos servidores. Esta soloción requiere tener pc encendido para poder acceder al giga y grabar.
¿Se puede instalar un cliente de este estilo en el giga? (veo que los hay para linux, pero no se si sería compatibles con él).
¿Existen otras soluciones?

Saludos.

pezdemar escribió:He visto en la red que hay soluciones para 'fijar' la ip como dar de alta un dominio en no-ip o dyndns, pero por lo que veo funciona si instalas 'algo' en el pc que envia constantemente la IP a esos servidores. Esta soloción requiere tener pc encendido para poder acceder al giga y grabar.
¿Se puede instalar un cliente de este estilo en el giga? (veo que los hay para linux, pero no se si sería compatibles con él).
¿Existen otras soluciones?

Efectivamente, tener IP dinámica hoy en día no es problema para acceder desde fuera a tu ordenador. Hay muchas webs que te permiten definir un subdominio sobre un dominio (el subdominio lo pones tu, el que quieras, el dominio te dan a elegir entre varias opciones).

Para actualizar la IP de tu conexión a internet hay varias formas:

1- Un router que lo tenga implementado (hay varios modelos en el mercado que lo traen de fábrica, y otros a los que les puedes cambiar el firmware por uno que lo lleve: open-wrt, dd-wrt, ...). En mi caso tengo un router que le cambié el firmware por el de dd-wrt y estoy muy contento con ello.
2- Utilizar un ordenador para hacerlo. En este caso, como comentas, es un problema ya que debería estar siempre funcionando, y si no está siempre funcionando lo hace cada vez que se enciende.

Creo que sería viable integrar el sistema que utiliza el dd-wrt en nuestro firmware para realizar esta tarea. Por lo que he leido en esta página, el dd-wrt utiliza inadyn que es open source y ya se ha implementado en otros sistemas embebidos (a parte de dd-wrt).

Seguro que tu router no tiene la opcion de actualizar dyndns?
Mira en la configuracion porque es raro que no tenga nada.

Parece que inadyn no usa librerias, quizas compile facilmente en nuestro toolchain.

He encontrado un modo de actualizar DynDNS sin tener que instalar nada... no lo he probado, pero parece muy simple:

Código:

wget -O /var/media/USB-HDD/ip.txt "http://<user>:<password>@members.dyndns.org
/nic/update?system=dyndns&hostname=<dominio>&wildcard=NOCHG&mx=NOCHG&backm
x=NOCHG&"

Donde <user> es tu usuario y <password> el password de dyndns, y <dominio> tu dominio virtual en dyndns... esto lo he encontrado en el "otro" foro.

Esto se podría incluir para que se ejecute cada vez que arranca el VDR, y/o meterlo como una tarea periodica en el programador de tareas.

Se podria poner en el cron cada cierto tiempo.
Por cierto el -O se puede quitar, se redirecciona la salida a /dev/null y asi no hace falta acceder al disco.

Creo que mi router no tiene ddns, lo estuve mirando anoche y no lo vi, de todas formas lo 'repasaré'.

El otro metodo que comentais parece muy sencillo, probaré en casa y os cuento.

Lo de actualizar el firm del router no se si será posible (tengo un micradigital muy básico, creo) y me da un poco de miedo dado mis, prácticamente nulos, conocimientos en ese entorno.

Gracias, da gusto postear aquí.

Ayer di de alta un dominio en dyndns y probe el wget y funcionó. Parece una idea muy buena, ya que es simple, y supongo que muy poco 'costosa' en cpu para el giga. Sólo quedaría ponerla en el scheduler, y aquí tengo mis dudas.

¿Está activo este plugin por defecto? Lo digo porque he leido que es el que actualiza la EPG.
He metido el wget en un script que sería el que tendría que incluir en el scheduler, he visto el archivo que configuración (task.conf creo recordar) pero desconozco la estructura de la linea a programar.

He rebuscado por el foro y no he encontrado ninguna descripcion, supongo que es parecido al cron pero ...
¿que significa cada posición en el linea? Y otra, ¿se 'despertaría' el giga estuviera apagado total?