Это было указано недостаточно четко, но я предполагаю, что вопрос заключается в том, как контролировать или ограничивать доступ к конфигурации маршрутизатора, а не к Wi-Fi.
Возможно ли это?
Да в общем. Я полагаю, что подобные хитрости могут быть проще с альтернативными прошивками (такими как dd-wrt, OpenWRT - у меня есть некоторый опыт работы с последними), чем с оригинальной. При использовании альтернативной прошивки вы можете предоставить себе доступ по ssh, оставив http-интерфейс своей семье. Интерфейс командной строки, доступный через ssh, даст вам больше возможностей. Просто помните: с большой силой приходит большая ответственность.
Однако есть одна загвоздка. Поскольку очень редко иметь ограниченного пользователя в ОС домашнего маршрутизатора, может быть трудно войти в систему для пользователя без полномочий root с интерфейсом http (что позволяет им изменять только подмножество параметров). Если вы не отключите свою семью от конфигурации http или не найдете (или не создадите) прошивку с явной поддержкой для ограниченного пользователя, они смогут изменить ваши настройки. Если вам нужен мастер-пароль в качестве средства восстановления, если ваша семья забудет свой пароль - это нормально. Если вам нужен постоянный доступ независимо от того, что они делают - не так просто.
Вопросы для рассмотрения:
- Микропрограмма, вероятно, будет использовать один и тот же пароль (т. Е. Пароль root) для доступа по http и ssh, поэтому для получения эксклюзивного доступа по ssh может потребоваться выполнить некоторую реконфигурацию (см. Ниже) или использовать аутентификацию на основе ключей.
- Прошивка, вероятно, выставит настройки ssh через интерфейс http. Может быть сложно убедиться, что ваша семья не может связываться с вашей настройкой ssh.
- Интерфейс http может предоставлять большее количество расширенных настроек пользователям (по сравнению с оригинальной прошивкой; неудивительно, что это его работа). Эти настройки, хотя и используются не по назначению, могут привести к зависанию устройства.
- Вы можете обнаружить, что CLI требует больше усилий по обучению, чем GUI.
Вам следует провести некоторое исследование, чтобы узнать, какая альтернативная прошивка (если таковая имеется) подходит вам и вашему оборудованию. Используйте его на свой страх и риск - или нет.
Ниже приведены советы о том, как вы можете обойти некоторые из вышеуказанных проблем в уже работающем OpenWRT. Они требуют некоторых знаний в области Linux.
- Включите ssh, войдите через ssh как
root .
- Создайте пользователя без полномочий root, непосредственно отредактировав
/etc/passwd .
- Сделайте пользователя sudoer, напрямую отредактировав
/etc/sudoers .
- Используйте
passwd чтобы установить пароль для пользователя. Это будет ваш главный пароль; это не может быть легко изменено через интерфейс http.
- Убедитесь, что вы можете войти через ssh как новый пользователь; убедитесь, что пользователь может
sudo .
- Dropbear - это ssh-сервер, изучите его параметры . Обратите внимание на опцию
RootLogin . Используйте его, чтобы отключить ssh логины как root.
Тем не менее, ваша семья имеет root-доступ через http. По умолчанию у них нет простого способа выполнить произвольную команду (для этого нужно luci-app-commands ), но они могут:
- отключить ssh сервер,
- заблокировать сервер ssh на уровне брандмауэра,
- выполнить команду с заданием cron.
Этого более чем достаточно, чтобы сделать ваш мастер-пароль бесполезным.
