OpenWRT: Unpriviligierten Benutzer anlegen

Für einen sicheren  SSH-Zugang empfiehlt es sich einen unpriviligierten Benutzer anzulegen. Dazu ist folgendermaßen vorzugehen:

opkg update
opkg install shadow-useradd shadow-usermod shadow-groupadd bash sudo
useradd -s /bin/bash -g users -m -d /home/new_user new_user
chown new_user:users /home/new_user

passwd new_user

Wird der SSH-Zugang wie empfohlen abgesichert, so ist noch eine Gruppe für die SSH-User anzulegen und der neue Benutzer entsprechend zuzuweisen:

groupadd --system ssh-user
usermod -a -G ssh-user new_user

Gleiches gilt für die Benutzung von sudo:

groupadd --system sudo
usermod -a -G sudo new_user

In der sudo-Konfiguration muss per visudo die folgende Zeile auskommentiert werden:

## Uncomment to allow members of group sudo to execute any command           
%sudo ALL=(ALL) ALL

Damit sofort auffällt, ob als root oder unpriviligierter Benutzer gearbeitet wird, kann ein farbiger Prompt gesetzt werden. Dazu wird im Verzeichnis /root die Datei .profile mit folgendem Inhalt angelegt

# ~/.profile: executed by Bourne-compatible login shells.

if [ "$BASH" ]; then
  if [ -f ~/.bashrc ]; then
    . ~/.bashrc
  fi
fi

export PS1='\[\e]0;\u@\h: \w\a\]${debian_chroot:+($debian_chroot)}\[\e[32m\]\u\[\e[m\]\[\e[33m\]@\h\[\e[m\]:\[\e[1;34m\]\w \$\[\e[m\] '

Info: Soll der Prompt an die eigenen Bedürfnisse angepasst werden, so kann auf Web-Dienste wie z.B. ezprompt.net zurückgegriffen werden. Damit der farbige Prompt funktioniert muss für root noch die Bash als Login-Shell gesetzt werden:

usermod -s /bin/bash root

Die Daten werden dann mit folgenden Kommandos für den neuen User übernommen:

cp .profile /home/new_user/.profile
cat .bashrc | sed "s/31/33/" | sed "s/#/\$/" > /home/new_user/.bashrc
chown new_user:users /home/new_user/.profile
chown new_user:users /home/new_user/.bashrc

Jetzt sollte nach dem Login mit dem unpriviligierten User ein grüner Prompt erscheinen. Bei root sollte ein roter Prompt angezeigt werden.