Ist OPT_TELNETD='yes', werden auf der Diskette inetd und telnetd installiert. Man kann sich dann vom LAN aus auf dem fli4l-Router mit telnet einloggen. Ist mit PASSWORD ein Password gesetzt, muss dieses eingegeben werden. Möchte man den telnet-Zugang auch von aussen erlauben, sind FIREWALL_DENY_PORT_N und FIREWALL_DENY_PORT_x anzupassen.

Beim Zugriff auf fli4l via telnet wird zunächst die Datei opt/etc/issue angezeigt, bevor die Aufforderung zur Eingabe des Passwords erscheint. Den Inhalt der Datei kann jeder nach Belieben anpassen.

Mit der Variable TELNETD_PORT kann man den Port bestimmen, auf dem der telnetd laufen soll.

Die Secure-Shell bietet die Möglichkeit, eine verschlüsselte Verbindung mit dem fli4l-Router aufzunehmen. Außerdem können mit dem Secure-Copy-Befehl Dateien verschlüsselt übertragen werden. Wenn RSA-Authentication (siehe unten) verwendet wird, können Befehle auf dem fli4l-router und Dateiübertragungen auch scriptgesteuert ausgeführt werden. Es sollte auf jeden Fall ein Password mit der PASSWORD-Variablen gesetzt werden!

Mit SSHD_PORT kann abweichend vom Standard ein Port angegeben werden, auf dem der sshd laufen soll.

RSAAuthentication: Wer sich die Passwort-Eingabe bei ssh und scp auf fli4l ersparen will, kann dies folgendermaßen tun:

• Voraussetzung: installierter und funktionierender fli4l-Router mit OPT_SSHD='yes'
• Erzeugen eines ssh-key Paares auf dem Rechner als der user, der auf fli4l per ssh/scp zugreifen will. (mit ssh-keygen; keine, d.h. leere passphrase vergeben)
• Öffentliche Schlüsseldatei per scp oder ftp auf den Router kopieren (hier ist identity.pub als name angenommen)
• Auf dem router einloggen und folgendes ausführen: cat identity.pub >>/.ssh/authorized_keys
• diese bisher genannten Schritte können von allen Rechnern/Usern wiederholt werden, die ssh-Zugriff ohne Passworteingabe auf den Router haben sollen.
• abschließend auf dem Router folgendes ausführen: tar -cv -f _ssh.tar /.ssh
• Die entstandene Datei auf den Rechner kopieren, auf dem die Bootdiskette erzeugt wurde, und zwar nach opt/_ssh.tar
• eine neue Bootdiskette wie in Kapitel 6 beschrieben erzeugen

SSH gestattet die Authentifizierung mit Hilfe von asymmetrischen Verschlüsselungsverfahren. Dabei erfolgt die Autentifizierung anstatt über Nutzername/Passwort über Nutzername/Public-/Privatkey. Damit kann man sich die Eingabe eines Passwortes sparen, das noch dazu bei Telnet im Klartext über die Leitung geht, damit also ein Sicherheitsrisiko darstellt. Das Schlüsselpaar erzeugt man mit Hilfe von ssh-keygen (oder puttygen, wenn putty unter Windows als ssh-Klient eingesetzt wird). Wird beim Schlüsselerzeugen eine Passphrase vergeben (also ein Password, das man braucht, wenn man den Schlüssel benutzen will), sollte man über den Einsatz eines Schlüsselagenten nachdenken (siehe ssh-agent oder pageant).

Hinweis: Die privaten Teile der Schlüsselpaare (Datei "identity"), deren öffentliche Teile in die Konfigurationsdatei übernommen werden, sind so sorgfältig zu behandeln wie Passworte, da sie die gleiche Funktion erfüllen. Zum ssh/scp-Zugriff sind immer beide Dateien beim Client erforderlich, mit dem öffentlichen Schlüssel allein (identity.pub) ist kein ssh-Zu- griff ohne Passworteingabe möglich.

Für weitere Informationen siehe die manual Pages von ssh und Konsorten bzw. die Dokumentation zu putty (http://www.chiark.greenend.org.uk/~sgtatham/putty/) SSHD_PUBLIC_KEYS_N beschreibt die Anzahl der öffentlichen Schlüssel, die auf den Router kopiert werden sollen.

Für jeden Nutzer, der über ssh Zugang zum Router haben will, kann hier ein Public Key angegeben werden.

Bei OPT_FTPD='yes' können mit dem ftp-Protokoll Dateien zum fli4l-Router übertragen werden - und umgekehrt. Der ftp-Dienst erlaubt jedoch erst dann einen Zugang, wenn man mit PASSWORD ein Password gesetzt hat.

Als Benutzerkennung ist "fli4l" zu verwenden. Vorsicht: Diese Benutzer- kennung hat dieselben Rechte wie root auf dem Router!

Möchte man den ftp-Zugang auch von aussen erlauben, ist FIREWALL_DENY_PORT_x anzupassen, siehe oben. Dieses halte ich aber nur für fli4l-Notfallsysteme sinnvoll. Siehe daher auch OPT_RESCUE (im Package HD).

Der Standard-TCP/IP-Port, auf dem der ftp-Dienst horcht, ist 21. Hier kann ein abweichender Port eingestellt werden - falls gewünscht.