[WLANtalk] Hallo Vorstand vom Verbund Freie Netzwerke NRW, Hallo Liste,

[Felix Kaechele]

Hallo zusammen,

anbei hierzu ein Statement, das wir gemeinsam im Vorstand formuliert
haben (und welches so auch im Forum zu finden ist):

Zunächst einmal möchten wir klarstellen, dass wir natürlich enttäuscht
über die Art sind, wie dieses Thema hier hochgekocht wird. Ohne Frage:
Das Thema ist kritisch und wichtig. Allerdings ist es fragwürdig wie das
Thema so stark skandalisiert wird. Wenn in kurzer Zeit anderen
Freifunkern Straftaten und kriminelle Energie unterstellt werden ist das
schon extrem starker Tobak. Es wird unterstellt wir hätten diese
Funktionen mit dem Ziel eingebaut kriminelle Handlungen vorzunehmen. Das
ist einfach inakzeptabel. Wenn das die Methoden sind mit denen
unliebsame Freifunk-Gruppierungen ausgeschaltet werden sollen, ist das
extrem bedenklich für den Freifunk insgesamt.

Zum Verständnis hierzu ein paar Hintergründe warum (teilweise aus
historischer Sicht) die Dinge so gemacht worden sind:

Das Wiederherstellen der authorized-keys Datei ist von uns eingebaut
worden, weil in älteren Firmware-Versionen die Datei direkt dort liegt
wo Dropbear sie findet ( /etc/dropbear/authorized_keys ). Wenn wir nun
ein Update machen, wird die Konfigurations-Routine nicht nochmals
durchgeführt, was dazu führt das die Datei fehlt. Es ist dann kein
Zugriff mehr auf die Geräte via SSH möglich, daher kopieren wir die
Datei beim booten zurück, sollte sie fehlen. Das ermöglicht zudem das
zusammensetzen der Datei mit den Administrationskeys aus der
Konfiguration und ggf. Community-spezifischen Keys.

Wenn Node-Betreiber keinen Ferwartungs-Service wünschten, haben wir vor
Installation der Nodes die /etc/dropbear/authorized_keys.default
gelöscht und die /etc/dropbear/authorized_keys mit dessen SSH-Key
gefüllt, oder leer gelassen.

Da im Forum die Anforderung nach einem öffentlichen Download aufkam,
haben wir ein Flag, das explizit beim Compillieren gesetzt werden muss,
eingebaut. Nur die Firmware für den internen Gebrauch hat eine von vorn
herein aktivierte Fernwartung. Das hat die Entwicklung vereinfacht.
Dieses Vorgehen ist vergleichbar mit einem selbst kompilierten Gluon
Build , in das man für die Wartung seine SSH-Keys (Paket
gluon-authorized-keys) einbaut. Darüber hinaus haben wir viele Fixes für
Fehlerzustände, die vorher beobachtet wurden eingebaut ( [1,2,3,4],
sodass wir denken das die Firmware sich in jedem Fall sich selbst durch
reboot wieder in einen stabilen Zustand bringen sollte - das war für uns
in der Vergangenheit der Hauptgrund eine Remote-Administration
anzubieten, da wir häufig Beschwerden über undefinierte Zustände der
Router hatten und unseren Usern so am schnellsten und einfachsten helfen
konnten.

Wir möchten auch nochmals darauf hinweisen, dass der gesamte Quelltext
der Firmware zu jedem Zeitpunkt auf GitHub öffentlich einsehbar und mit
dem Hinweis, sie nicht ohne weitere Rücksprache zu verwenden, versehen
war. Weiterhin haben wir nie dazu aufgerufen unsere Firmware (vor der
Version ohne Fernwarung) einfach herunterzuladen und zu installieren.
Wir haben aus diesem Grund die Links zu den bereits kompilierten Dateien
nicht auf unserer Webseite veröffentlicht.

[1]
https://github.com/FF-NRW/Firmware/commit/eefeb663f0860b58d4fb0a8d28d4ee4717e057e3
[2]
https://github.com/FF-NRW/Firmware/commit/46a7672688262d901df6fbe8a534811367441ad0
[3]
https://github.com/FF-NRW/Firmware/commit/06a9ac37ef272c9394e712a70169a0335668c8a3
[4]
https://github.com/FF-NRW/Firmware/commit/88bd6ddee31d510c4e733b205973be94348cb125