通过电子邮件发送我的路由器上发生的任

我拥有一台TP-LINK WR841N路由器，我的所有家庭成员都可以访问它（他们知道网络界面的密码）。

我想要的是每次有人登录或密码被更改时，都会向我发送一封电子邮件，其中包含有关该事件的详细信息，以及 - 如果有密码更改 - 新密码。

另一种选择是一种主密码或权限管理系统（与Git服务器一样，您可以在其中添加SSH密钥，以便其他人可以在不需要密码的情况下推送或拉取）。

这有可能吗？

我可以回答你关于类似Git的无密码公钥认证的后一个问题。

许多Wi-Fi接入点（无线路由器）支持IEEE 802.1X身份验证，通常作为更大的安全协议集的一部分 WPA2企业版 。 802.1X允许唯一的每用户登录凭据。通常，这些凭证由单独的认证服务器检查，AP通过RADIUS协议到达。 IEEE 802.1X和RADIUS就像许多特定身份验证方法中的任何一种一样，包括一个称为EAP-TLS的方法。 EAP-TLS允​​许通过公钥证书（当然还有匹配的私钥）进行用户身份验证。

因此，拥有无密码的每用户凭据的最基于标准的方法是使用RADIUS服务器设置WPA2-Enterprise，并使用每个用户（或每个设备）公钥证书进行EAP-TLS身份验证。

但是，这是设置的地狱。

它没有明确说明，但我认为问题是如何监控或限制对路由器配置的访问，而不是Wi-Fi。

这有可能吗？

是的，总的来说。 我想这些技巧可能会更容易使用替代固件（如 DD-WRT ， 的OpenWRT - 我对后者有一些经验，而不是原始经验。使用替代固件，您可以在将http接口留给您的家人的同时为自己提供ssh访问权限。 通过ssh提供的命令行界面将为您提供更多功能。 请记住：强大的力量带来了巨大的责任。

但是有一个问题。 由于在家庭路由器操作系统中限制用户非常罕见，因此可能很难使用http接口登录非root用户（因此允许他们仅更改选项的子集）。 除非你从http配置中删除你的家人 或查找（或创建）明确支持受限用户的固件 他们将能够改变你的设置。 如果您需要一个主密码作为恢复的意思，以防您的家人忘记密码 - 这很好。如果你需要永久访问，无论他们做什么 - 不是那么容易。

需要考虑的问题：

1. 固件可能会使用相同的密码（即root密码）进行http和ssh访问，以便获得 独家 ssh访问您可能需要进行一些重新配置（见下文）或使用基于密钥的身份验证。
2. 固件可能会通过http接口公开ssh设置。确保您的家人不会搞砸您的ssh设置可能会很棘手。
3. http接口可能会向用户公开更多的高级设置（与原始固件相比;难怪，这是它的工作）。这些设置虽然被误用，但可能会破坏设备。
4. 您可能会发现CLI需要比GUI更多的学习工作。

您应该做一些研究，以了解哪种替代固件（如果有）适合您和您的硬件。使用它需要您自担风险 - 或者不这样做。

下面有关于如何规避上述某些问题的提示 在已经工作 的OpenWRT 。他们需要Linux领域的一些知识。

1. 启用ssh，通过ssh登录为 root。
2. 通过直接编辑创建非root用户 /etc/passwd。
3. 通过直接编辑使用户成为一个sudoer /etc/sudoers。
4. 使用 passwd 为用户设置密码。这将是您的主密码;它不能通过http界面轻松更改。
5. 确保您可以通过ssh作为新用户登录;确保用户可以 sudo。
6. Dropbear 是ssh服务器，学习 它的选择 。注意 RootLogin 选项。使用它以root身份禁用ssh登录。

您的家人仍然可以通过http访问root。默认情况下，他们没有简单的方法来执行任意命令（它需要 luci-app-commands 要安装），但他们可能：

• 禁用ssh服务器，
• 阻止防火墙级别的ssh服务器，
• 使用cron作业执行命令。

这足以让你的主密码无用。