Autor Thema: Apache oder FHEMWEB?  (Gelesen 874 mal)

Offline FunkOdyssey

  • Sr. Member
  • ****
  • Beiträge: 741
Apache oder FHEMWEB?
« am: 28 Oktober 2016, 18:04:11 »
Ich bin testweise schon einmal mit einem FHEMWEB-Port/Instanz auf Apache "umgestiegen" bzw. nutze dafür den Apache inkl. SSL als Reverse Proxy.

Bevor ich weitermache wollte ich mir ein paar Gedanken über die richtige Vorgehensweise machen:
- Ports oder Directories
- Welche Art der Authentifizierung?
- etc.

Aber was mich hier nun vielmehr interessiert: Wie sicher ist das Ganze?

Ist ein Apache vom Laien konfiguriert wirklich sicherer als eine reine FHEMWEB-Instanz?

Wenn ich wirklich beim Apachen bleiben sollte, würde ich mir auch folgende Quelle genauer zur Brust nehmen: http://www.petefreitag.com/item/505.cfm



Aktuell habe ich
- einen Port für normalen Webzugriff inkl. Portweiterleitung im Router (Anmeldung notwendig)
- einen Port für den Webhook bzw. die Geo-Lokalisierung (Anmeldung notwendig)
- einen Port, der nur für den internen IP-Kreis nutzbar ist, um FHEM daheim ohne Anmeldung nutzen zu können.

Alles in allem keine schöne Lösung. Aber auch mit Apache2 würde es nicht großartig anders aussehen.

Danke für eure Meinung.
FHEM@RasPi

Offline rudolfkoenig

  • Administrator
  • Hero Member
  • *****
  • Beiträge: 15351
Antw:Apache oder FHEMWEB?
« Antwort #1 am: 28 Oktober 2016, 19:12:26 »
Zitat
Ist ein Apache vom Laien konfiguriert wirklich sicherer als eine reine FHEMWEB-Instanz?

Ich hoffe nicht, wer andere Infos hat, soll sich melden :)
Apache kann aber zusaetzlich auch "client-side certificates", siehe https://gist.github.com/gbirke/8608543

Offline FunkOdyssey

  • Sr. Member
  • ****
  • Beiträge: 741
Antw:Apache oder FHEMWEB?
« Antwort #2 am: 28 Oktober 2016, 22:01:04 »
Ehrlich gesagt will ich nur zum Reverse Proxy, da (bei mir) FHEMWEB nicht mit HTTPS funktioniert. Dazu gibt es ja bereits einen Thread, aber leider kann ich dich bei der Fehlersuche nicht unterstützen.

Ich habe das Gefühl, dass ein eigener Apache2 ein bißchen oversized ist. Ich habe Bauchschmerzen, das Authentifizierungsverfahren auszulagern. Nu ja. Ich lese mich mal schlau.
FHEM@RasPi

Offline rudolfkoenig

  • Administrator
  • Hero Member
  • *****
  • Beiträge: 15351
Antw:Apache oder FHEMWEB?
« Antwort #3 am: 29 Oktober 2016, 10:23:06 »
Ein RPi sollte Apache noch laufen lassen koennen, ohne merkbare Nachteile, ich betreibe mein FHEM seit 10 Jahren so.
Lieber mit Apache und HTTPS als nur HTTP, HTTP ist einfach abzuhoeren, und FHEM kann kaum was dagegen tun.

Offline abc2006

  • Full Member
  • ***
  • Beiträge: 408
Antw:Apache oder FHEMWEB?
« Antwort #4 am: 06 Dezember 2016, 06:19:16 »
evtl ist auf dem Raspi dann der lighttpd interessant...

Grüße
Stephan
FHEM nightly auf Intel Atom (lubuntu) mit VDSL  50000 ;-)
CUL868v3 über USB ohne Repeater
Nutze zur Zeit FHT, HMS, FS20, HMW485
(Gateway HMW-LGW-O-DR-GS-EU, 2x HMW-IO-12-SW7-DR, 2x HMW-IO-12-Sw14-DR, 1x HMW-LC-Dim1L-DR) und OneWire
Erweiterung und Umbau auf KNX

Offline klausw

  • Developer
  • Hero Member
  • ****
  • Beiträge: 1330
Antw:Apache oder FHEMWEB?
« Antwort #5 am: 06 Dezember 2016, 12:31:03 »
Apache läuft bei mir auf dem PI1 ohne Probleme.
Bei den paar Clients die es bedienen muss ist es auch nicht langsamer als beispielsweise nginx
Zusätzlich habe ich noch fail2ban installiert um die Sicherheit etwas zu erhöhen.
RasPi B v2 mit FHEM 18B20 über 1Wire, LED PWM Treiber über I2C, Luchtdruck-, Feuchtesensor und ein paar Schalter/LED\'s zum testen
Module: RPI_GPIO, RPII2C, I2C_EEPROM, I2C_MCP23008, I2C_MCP23017, I2C_MCP342x, I2C_PCA9532, I2C_PCF8574, I2C_SHT21

Offline JoeALLb

  • Sr. Member
  • ****
  • Beiträge: 902
Antw:Apache oder FHEMWEB?
« Antwort #6 am: 17 Januar 2017, 20:01:56 »
Wirklich lightweigt und sehr elegant ist nginx!
Würde ich unbedingt ansehen, kann alles was du brauchst! Du kannst damit auch alles über einen einzigen port laufen lassen!!
(mache ich so)
FHEM-Server auf IntelAtom+Debian (12 Watt),
RasPi-2 Sonos-FHEM per FHEM2FHEM,RasPi-3 Versuchs-RasPi für WLAN-Tests
Gateways: DuoFern Stick, CUL866 PCA301, CUL HM, HMLan, JeeLink, LaCrosse,VCO2
Synology. Ardurino UNO für 1-Wire Tests, FB7270

Offline DocCyber

  • Full Member
  • ***
  • Beiträge: 213
Antw:Apache oder FHEMWEB?
« Antwort #7 am: 13 Februar 2017, 12:17:06 »
Aktuell habe ich
- einen Port für normalen Webzugriff inkl. Portweiterleitung im Router (Anmeldung notwendig)
- einen Port für den Webhook bzw. die Geo-Lokalisierung (Anmeldung notwendig)
- einen Port, der nur für den internen IP-Kreis nutzbar ist, um FHEM daheim ohne Anmeldung nutzen zu können.

Ich bin auch an dieser Thematik interessiert, besonders auch das fett markierte Thema.
Außerdem würde ich gern einzelne UI-Websites (ich verwende FTUI) davon auschließen wollen, von jedermann im Haus (z.B. meine Kinder) benutzt zu werden.

Leider kenne ich mich in diesem Komplex nicht wirklich aus, also FHEM auf Apache zu instllieren. Hast du Erfahrungen, wo ich informieren kann; am besten  FHEM-spezifisch?


Vielen Dank im Voraus!
Behandle die Menschen so, als wären sie, was sie sein sollten. Dadurch hilfst du ihnen zu werden, was sie sein können. (Goethe)


RPi-3 mit HM-CFG-LAN und jede Menge HM Komponenten.

Offline FunkOdyssey

  • Sr. Member
  • ****
  • Beiträge: 741
Antw:Apache oder FHEMWEB?
« Antwort #8 am: 13 Februar 2017, 16:41:30 »
Ich bin auch an dieser Thematik interessiert, besonders auch das fett markierte Thema.
Außerdem würde ich gern einzelne UI-Websites (ich verwende FTUI) davon auschließen wollen, von jedermann im Haus (z.B. meine Kinder) benutzt zu werden.

Leider kenne ich mich in diesem Komplex nicht wirklich aus, also FHEM auf Apache zu instllieren. Hast du Erfahrungen, wo ich informieren kann; am besten  FHEM-spezifisch?


Vielen Dank im Voraus!

Ich bin mittlerweile auf Apache >2.4 gewechselt. Das >2.4 erwähne ich, weil sich hier halt einige Dinge geändert haben und ein simples Copy&Paste der Konfiguration nicht unbedingt möglich war.

Ich habe immer noch zwei Ports offen. Diese laufen nun jedoch SSL-verschlüsselt durch einen Apache Reverse Proxy.
Intern wie auch von außen per VPN greife ich per Client-Zertifikat auf https://fhem.fritz.box ohne Authentifizierung zu.
Das alles hat mich ganz schön Nerven gekostet, da jede Anleitung, die ich hier im Forum gefunden habe, nur zum Teil für mich passend war.
Leider habe ich gerade keinen Link greifbar. Es war auch ein ziemliches Durcheinander und ich könnte es momentan auch nicht rekonstruieren.

Ehrlich gesagt: Ich habe auch ein wenig Bauchschmerzen, dass durch eine Fehlkonfiguration von Apache2 ich eigentlich noch ein größeres Loch öffne.

FHEM@RasPi

Offline DocCyber

  • Full Member
  • ***
  • Beiträge: 213
Antw:Apache oder FHEMWEB?
« Antwort #9 am: 13 Februar 2017, 16:55:47 »
hhmmm...

Vielen Dank für deine Antwort - die Thematik scheint hinreichend komplex zu sein.
Aber vielleicht stößt ja noch jemand auf diesen Thread und hat weitergehende Ideen.

Behandle die Menschen so, als wären sie, was sie sein sollten. Dadurch hilfst du ihnen zu werden, was sie sein können. (Goethe)


RPi-3 mit HM-CFG-LAN und jede Menge HM Komponenten.

 

decade-submarginal