Diskussions Thread für demo-fhem.cooltux.net

[CoolTux]

Hallo,

Hier kann über demo-fhem.cooltux.net diskutiert werden.
Die Ankündigung dazu findet Ihr hier.


Grüße
Marko

[Christoph Morrison]

Ich hoffe, ich habe das System nicht schon mit ping und apt install nmap kaputt gemacht

[CoolTux]

Anscheinend schon. Habe den Pod gelöscht womit automatisch ein neuer erstellt wird.
Läuft wieder. Ich teste das mal was Du gemacht hast.

[CoolTux]

Ich hoffe, ich habe das System nicht schon mit ping und apt install nmap kaputt gemacht

Mach mal noch mal bitte

[Christoph Morrison]

Später, bin gerade unterwegs.

[Christoph Morrison]

Naja, ich hab halt Shell-Access als fhem-User, weiß nicht ob das nicht ein bisschen bedenklich ist, wenn du das so im Netz betreibst.

[CoolTux]

Halt im Rechtekontext des Users fhem. Wie weit man da was im Container machen kann, kann ich nicht sagen. Habe mir keine Gedanken gemacht.
Ist halt ein Container der alle 24 Stunden zerstört und neu gebaut wird.

[CoolTux]

Da scheint sich der ein oder andere richtig austoben zu wollen. Es werden verschiedenste Kommandos versucht über FHEM auszuführen. 

Bitte daran denken das die Demo keine Hacking Herausforderung sein soll und andere User ernsthaft sich FHEM in der Demo anschauen wollen.

[marvin78]

Nun. Ich möchte Idioten, die sowas machen (und ja und ich habe das so geschrieben und meine es so) nicht verteidigen aber warum stellst du das so ins Netz, wenn du nicht möchtest, dass Dinge versucht werden, die man nicht möchte? Das ging vor 20 Jahren vielleicht. Heute nicht mehr.

[LuckyDay]

Bei der "Demo " wenn man on oder off drückt passiert genau nichts, -> erst beim reload der Seite sieht man die Änderung.

[CoolTux]

Bei der "Demo " wenn man on oder off drückt passiert genau nichts, -> erst beim reload der Seite sieht man die Änderung.

Komisch. Bei mir geht es super. Über Handy eben geschalten. Sofort den Status aktualisiert bekommen. So wie man es auch erwartet.
Was hast Du erwartet, das bei Dir das Licht an geht 

[Christoph Morrison]

Ich verstehe deinen Gedanken, aber wenn du an jemanden mit mehr Interesse daran, dein System als kostenlose Webshell zu benutzen, z.B. irgendeine Spammer-Gruppe oder Ransomware-Leute, gerätst, bist du erstmal der Störer bei allem was sie tun. Jemand könnte deinen Host z.B. als Server für Malware oder Downloads benutzen, 24h reichen da uU völlig. Jemand könnte inkriminierendes Material auf deinen Host laden und dann wärst auch erstmal du dran. Ich hoffe, du hast nur Freunde

Ich würde an deiner Stelle zumindest den Shell-Access komplett abdrehen. Denk dabei auch bitte an die nach wie vor offene Schwachstelle im Log-Handling, die RCE ermöglicht.

Noch ein Gedanke:
Wenn es nicht trivial möglich ist, FHEM ohne solche Klimmzüge im Interwebs zu betreiben (die Fake-Geräte ignorieren wir mal), hat die Software ein Sicherheitsproblem.

[TomLee]

Es wird untergehen, darum sprech ich es an (hab es selbst gerade erst bemerkt), ich selbst seh jetzt erstmal keinen nutzen, aber alleine das es es geht mag ich festhalten.

Ich hab mir nicht angeschaut was für Einstellungen in der jetzigen Demo vorgenommem wurden und wozu die Icons neben dem Pin eigentlich gedacht sind  (die haben keine Funktion ?).

Das Feature Devices in der Raumansicht einfach so zu verschieben hat was!

[CoolTux]

Das ist die mitgelieferte demo.cfg welche man auch bei FHEM install mitbekommt. Da ist nichts extra gemacht.
Das ganze läuft in einem Container in einem k8s Cluster. Viel missbrauchen kann man da nicht. Was nicht heißt das es da doch was geben kann.

[M.Schulze]

Ich hoffe, ich habe das System nicht schon mit ping und apt install nmap kaputt gemacht

Sicherlich kann man es nicht kaputt machen, denn K8s wird ja bestimmt die Funktionsfähigkeit überwachen, Signale an FHEM senden, und den Pod neustarten bei Bedarf.