Безопасный доступ к веб-интерфейсу LuCI

Если вы выполняете административные действия через веб-интерфейс LuCI, существует риск того, что пользователь вашей сети OpenWrt прослушивает ваш трафик. Вы рискуете передать свои учетные данные LuCI злоумышленнику. Есть несколько способов снизить этот риск.

Не будьте настолько привязаны к одному методу, чтобы отметать другие в пользу предпочитаемых вами методов.

Настройки в OpenWrt, использующие UCI (Unified Configuration Interface), хранятся в файлах в /etc/config/.

Эти файлы содержат информацию о конфигурации различных системных служб и приложений:

/etc/config/network (настройки сети),

/etc/config/wireless (настройки беспроводной сети),

/etc/config/dhcp (настройки DHCP-сервера).

Вы можете редактировать эти файлы вручную для настройки системы, но рекомендуется использовать инструменты UCI, такие как LuCI (веб-интерфейс) или командную строку, для внесения изменений и обеспечения целостности настроек.

Настройки в UCI можно сохранить через веб-интерфейс (LuCI) в разделе System > Backup/Flash Firmware, вкладка Configuration. Это позволяет создавать резервные копии конфигурации и восстанавливать их при необходимости.

https://openwrt.org/ru/docs/guide-user/base-system/uci

Это стандартизированная практика обеспечения безопасности протокола HTTPS .

Главное преимущество HTTPS — это стандартизированный протокол для защиты HTTP- соединения.

Чтобы получить доступ к HTTPS-странице, достаточно ввести https://openwrt.lan/ вместо http://openwrt.lan/.

Это просто. Просто убедитесь, что luci-ssl и его зависимости установлены (в 21.02 установлены) .

Недостатки:

1. Внешние библиотеки приводят к раздутию установки.

На системах с 4 МБ флэш-памяти невозможно включить HTTPS для веб-интерфейса LuCI.

2. Предупреждение браузера о неправильно подписанном сертификате.

решение - [1]

Так как OpenWrt 21.02 теперь LuCI доступен по HTTPS в дополнение к HTTP по умолчанию, без установки дополнительных пакетов. Автоматического перенаправления на HTTPS на новой установке OpenWrt 21.02 нет, однако перенаправление будет включено после обновления с OpenWrt 19.07 до OpenWrt 21.02.

Всегда можно активировать или деактивировать перенаправление на HTTPS следующим образом:

uci set uhttpd.main.redirect_https=1     # 1 to enable redirect, 0 to disable redirect
uci commit uhttpd
service uhttpd reload

ПРИМЕЧАНИЕ: Перенаправление необходимо отключить, если вы собираетесь использовать SSH- туннелирование.

https://openwrt.org/docs/guide-user/luci/luci.secure

Используйте альтернативные порты, например:

• HTTP - 8080/ TCP
• HTTPS - 8443/ TCP

uci -q delete uhttpd.main.listen_http
uci add_list uhttpd.main.listen_http="0.0.0.0:8080"
uci add_list uhttpd.main.listen_http="[::]:8080"
uci -q delete uhttpd.main.listen_https
uci add_list uhttpd.main.listen_https="0.0.0.0:8443"
uci add_list uhttpd.main.listen_https="[::]:8443"
uci commit uhttpd
/etc/init.d/uhttpd restart

Для дополнительной безопасности вы можете полностью отключить веб-сервер uHTTPd:

/etc/init.d/uhttpd disable
/etc/init.d/uhttpd stop

и запускать его через SSH только при необходимости:

/etc/init.d/uhttpd start

При такой настройке вы минимизируете риск взлома веб-сервера uHTTPd и предотвращаете несанкционированный доступ к веб-интерфейсу LuCI, если ваша настройка SSH безопасна (отключение пароля и использование только аутентификации с открытым ключом).

В качестве бонуса производительность вашего устройства OpenWrt может возрасти за счет освобождения некоторых системных ресурсов (памяти, подкачки и использования процессора) от процесса uhttpd.

См. также: https://openwrt.org/docs/guide-user/base-system/managing_services