Un « irc friend » – fo0 en l’occurrence – m’as demandé récemment comment comment créer un petit serveur web en python, rapidement pour pouvoir partager ponctuellement des fichiers & tester du dev. Et bien c’est faisable en une courte ligne:

Ca lance un petit serveur http sur le port 8000, partageant les fichiers du répertoire courant. Pointez vôtre navigateur sur http://127.0.0.1:8000/ et vous servira le fichier index.html si il existe, sinon il listera le répertoire courant. Et il bavera toutes les infos sur le stdout, exemple:

De plus il est « chrooté » au répertoire dans lequel vous l’aurez lancé – essayer d’accéder a http://127.0.0.1:8000/../ vous laissera dans le répertoire courant.

Voilà pour la petite astuce du soir..

Maj du 29 Avril 2009: Vu sur http://www.tux-planet.fr, une version encore plus simple:

Maj du 04 Mai 2009: Voici une version multithreadé et pas beaucoup plus compliquée:

Attention, ce tutoriel ne concerne que les versions de firmware 0.7.1r2 ou plus récent.

Dans ce tutoriel je vais essayer vous expliquer comment flasher sa Fonera avec le firmware DD-WRT avec votre Mac préféré. DD-WRT, C’est quoi ? Tout simplement firmware alternatif qui vous apporte pleins de fonctions: un mode client en wifi, système de hotspot (Chilli) et encore pleins d’autres choses.. en plus il est gratuit. Pourquoi s’en priver ?

Ce dont vous aurez besoin

Attention, il est important de télécharger ces fichiers avant de commencer ce tutoriel car vous n’aurez plus de connexion a internet pendant la procédure… Sauf si vous avez plusieurs machines.. ;)

Vérifier la version de la fonera

1. Procédure de reset:
- Maintenez le bouton reset 30s,
- Débranchez/retranchez l’alimentation tout en maintenant le reset,
- Continuez a appuyer dessus jusqu’à ce que la led wifi s’allume puis s’éteigne (2-3 minutes),
- Relâchez (enfin) le reset puis attendez (encore) 2-3 minutes que la led wifi s’allume de nouveau.

2. Connecter: Pour cela on va brancher la Fonera directement à l’ordinateur en RJ45 puis configurer l’adresse Ip de la carte Ethernet en: 169.254.255.2/255.255.0.0 (la fonera ayant l’adresse: 169.254.255.1).
3. Récupérer la version: Ouvrez votre navigateur et tapez dans la barre d’adresse « http://169.254.255.1″
4. Si un login/mdp vous est demandé entrez:
- login: root
- pass: admin

Exploiter RADIUS pour obtenir un accès SSH

A chaque démarrage de la fonera elle se connecte a un serveur RADIUS (/usr/sbin/chilli_radconfig) pour télécharger la configuration la plus récente (/etc/chilli.conf).
FON a pris des précautions pour sécuriser l’utilisation du serveur SSH mais n’a pas fait de même pour leur serveur RADIUS, nous allons exploiter cette faille en se connectant à un serveur spoofé qui va nous permettre d’avoir la main sur cette petite bête..
Pour cela nous allons devoir faire pointer la Fonera sur un serveur DNS qui redirigera l’adresse « radius01.fon.com » vers un serveur RADIUS « Non-officiel » sur lequel elle récupérera un fichier config a notre sauce.

En résumé. Donc tout ce que l’on a à faire c’est configurer la Fonera pour qu’elle pointe sur le DNS: « 88.198.165.155″ ce qui redirigera « radius01.fon.com » sur « kolofonium.datenbruch.de » (qui est un serveur Radius « pirate »).

1. Ouvrez votre navigateur et tapez dans la barre d’adresse « http://169.254.255.1″
2. Allez dans « advanced » et entrez les paramètres réseau avec:
- Ip: une Ip valide derrière votre Box internet (ex: 192.168.3.20, chez moi)
- Network Mask: 255.255.255.0
- Gateway: L’Ip de votre Box Internet. (ex: 192.168.3.242, chez moi)
- DNS: 88.198.165.155

3. Connectez la Fonera directement a un des ports ethernet de votre box internet,
4. Redémarrez enfin la Fonera puis attendez quelques minutes pour la redémarrer à nouveau.

La modification touche le fichier « /etc/raddb/users », le nouveau contient:

On notera la ligne « ipup /etc/init.d/dropbear »: C’est elle qui lance le serveur SSH des que l’interface « publique » est démarrée.

Se connecter a notre joli serveur SSH

1. Reconnectez la Fonera a votre machine par l’interface Ethernet (rappel ip: 169.254.255.1)

2. Ouvrez un Terminal (Applications > Terminal) et tapez:

3. On accepte la clé et on entre le mot de passe « admin »

4. Yeepee, on est dedans :)

5. Activer le SSH en permanence:

Configurer notre serveur HTTP

1. Rendez-vous dans vos « Préférences systèmes » puis dans « Partage », Activez le « Partage web ». Notez l’url du bas, (ici: http://mac.local/~rzo ou http://169.254.5.199/~rzo) Vous trouverez votre Ip dans les préférences réseau de OSX, la mienne est « 169.254.5.199″

2. Puis mettez les 2 fichiers téléchargé plus tôt dans le répertoire de partage web de votre utilisateur (/Users/’nomUtilisateur’/Sites/)
- openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma
- out.hex

Accès à la mtd

1. On récupère nos fichiers sur la Fonera:

2. On flashe avec le firmware modifié, ce qui nous permet un accès à la mtd:

Soyez patients, cela peut prendre du temps…

3. on se reconnecte en SSH et on lui applique le out.hex (fichier config redboot)

Attention, si vous avez l’erreur: « Could not open mtd device » assurez vous d’avoir tapé la commande en respectant les majuscules, c’est case sensitive.

Configurer le serveur tftp

1. Entrez dans un Terminal: (dans mon cas il existait déjà.. vérifiez quand même..)

2. Copiez le firmware de dd-wrt à la racine du serveur tftp (linux.bin):
- Déplacez le fichier sur le bureau.
- Tapez:

3. On démarre le serveur tfp, tapez:

Quand on touche au but..

NOTA: A ce stade la Fonera ne peux pas démarrer correctement, c’est normal – et indispensable – le répertoire FIS est complètement effacé. Par contre nous pouvons toujours nous connecter au RedBoot, pour cela:

1. Configurez votre carte Ethernet pour avoir l’Ip: 192.168.1.10

2. Préparez un Terminal avec la ligne suivante: Ne tapez pas entrée tout de suite !

3. Débranchez et rebranchez l’alimentation de la Fonera, puis validez la commande ci-dessus dans les 10 secondes qui suivent le branchement.
NOTE: Le pre-boot de la Fonera peut prendre du temps, n’hésitez pas à retaper la commande plusieurs fois.. (Tips: Flèche haut).

4. On a le shell, on configure le réseau. qui va pointer sur notre serveur tftp:

5. Puis on flashe ! Répondez « y » quand on vous pose des questions.

Ces commandes sont très longues a exécuter, ne vous affolez pas ! (« fis create linux » a pris 30 minutes chez moi…).
Ne pas rebooter ensuite, il va falloir modifier le script de démarrage !

Voilà, vous y êtes, redémarrez la Fonera, configurez votre réseau ethernet (ou wifi) en DHCP puis lancez un navigateur sur l’url: http://192.168.1.1. Félicitation.

NOTE: l’utilisateur/mot de passe est le même. login: root, mdp: admin

On peux installer fail2ban après avoir maj les listes de packages

Passons à la config fail2ban. Depuis je ne sais plus quelle version elle ne se fait plusdans le fichier jail.conf (j’ai d »ailleurs galéré car tous les tutos sur le net parlent de ce fichier). Elle se fera dans un fichier jail.local qui supplante les instructions de jail.conf, Ce dernier pouvant être modifié par une Maj…
Voici donc mon fichier jail.conf, qui est – je le rapelle car c’est très important – le seul a modifier !

C’est ici mon fichier de config, ajusté en fonction de mes besoins… ce n’est pas forcément ce qu’il vous faut ! Ajustez en conséquence !
Tout est suffisament commenté pour que je n’ai pas besoin d’en dire plus ;)

On redémarre fail2ban-client :

On vérifie comme ceci :

Et encore comme ça:

Ok, ça roule ! :]