Presence und iPhone / Android

Ajuba · 19 März 2018, 23:14:13

Zitat von: HausHH am 19 März 2018, 22:51:39
99_myUtils.pm vergessen?
Stand zumindest nicht im Text.

Vollkommen richtig - Peinlich.
Nachdem es auch in der (scheinbaren) Zusammenfassung von Post 141 nicht stand hab ich darauf vergessen.

Das Modul scheint jetzt zu funktionieren. Ich wundere mich nur warum mein Handy seit 10 min absent ist obwohl der Script Direktaufruf 1 zurück liefert

Code Auswählen

defmod Ajuba PRESENCE function {CheckiPhone("XXX.XXX.X.XX", "xx:xx:xx:xx:xx:xx")} 300 300
attr Ajuba room CONTROL->System

setstate Ajuba absent
setstate Ajuba 2018-03-19 23:09:45 .absenceThresholdCounter 0
setstate Ajuba 2018-03-19 23:09:45 .presenceThresholdCounter 0
setstate Ajuba 2018-03-19 22:59:39 model function
setstate Ajuba 2018-03-19 23:09:45 presence absent
setstate Ajuba 2018-03-19 23:09:45 state absent

Ajuba · 19 März 2018, 23:27:33

Und jetzt darf erstmals ich auf einen Fehler hinweisen

Code Auswählen

$ret = qx(/Work/presence.sh $ip $mac);

Mit deinem Pfad "/Work" wird es wohl bei niemandem funktionieren. -> Bitte korrigieren.

Trotzdem, mein Handy bleibt auf absent während das Script selbst 1 zurück liefert.

Master_Nick · 19 März 2018, 23:31:35

Hehe

Stimmt ich nutze einen Pfad für mein selbstgebrautes entgegen dem was hier gängig ist.
*FIXED*

Ajuba · 19 März 2018, 23:34:07

Hast du auch eine Idee wegen meinem "absent"?
Welche Infos soll ich liefern?

Master_Nick · 19 März 2018, 23:34:28

Gib mal das List deines presence devices am besten

Ajuba · 19 März 2018, 23:41:08

Ich glaub ich hab die Antwort im Logfile gefunden

Code Auswählen

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

sudo: no tty present and no askpass program specified

EDIT: Nur weiß ich nicht wo es an den Rechten fehlt.

Ajuba · 20 März 2018, 00:13:25

Hier noch das List. Das ist erst gar nicht durchgegangen weil mein Netz voll blockiert war bis ich das Device gelöscht habe und Fhem neu gestartet.

Code Auswählen

Internals:
   CFGFN      
   DEF        function {CheckPresence("192.168.X.XX", "n:n:n:n:n:n")} 300 300
   INTERVAL_NORMAL 300
   INTERVAL_PRESENT 300
   MODE       function
   NAME       Ajuba
   NOTIFYDEV  global
   NR         287
   NTFY_ORDER 50-Ajuba
   STATE      absent
   TYPE       PRESENCE
   READINGS:
     2018-03-19 23:58:08   model           function
     2018-03-19 23:58:10   presence        absent
     2018-03-19 23:58:10   state           absent
   helper:
     call       {CheckPresence("192.168.X.XX", "n:n:n:n:n:n")}
Attributes:

So wie ich die Logfile Meldung verstehe fehlen mir die Zugriffsrechte ohne Passwort.

Code Auswählen

sudo: no tty present and no askpass program specified
Aber Fhem sollte doch die vollen Rechte auf presence.sh haben

??

Code Auswählen

-rwxr-xr-x 1 fhem dialout 1387 Mar 20 00:09 presence.sh

MadMax-FHEM · 20 März 2018, 00:36:53

Vermutlich fehlt der User fhem in der sudoers...

https://kofler.info/sudo-ohne-passwort/

Allerdings gibt es seit Jessie/Stretch unter /etc/sudoers.d/ für jeden User eine eigene Datei.
Für den User pi sollte bereits eine da sein...

Aber: Achtung! und auf eigene Gefahr!

Gruß, Joachim

HausHH · 20 März 2018, 06:34:06

Zitat von: MadMax-FHEM am 20 März 2018, 00:36:53
Vermutlich fehlt der User fhem in der sudoers...

https://kofler.info/sudo-ohne-passwort/

Man sollte noch mal betonen, dass eine Einstellung
pi ALL=(ALL) NOPASSWD: ALL
wie in dem Artikel geschrieben, zwar ganz toll funktioniert, aber die Sicherheit kompromittieren kann.
Falls Fhem von außen erreichbar ist, würde ich von so einem "Scheunentor" abraten.

Ich habe per Visudo folgende Zeile eingetragen, die bei mir funktioniert:
fhem ALL = NOPASSWD: /opt/fhem/FHEM/backup.sh,/opt/fhem/FHEM/presence.sh,/usr/bin/arp-scan,/usr/sbin/hping3

Also nur die verwendeten Komponenten (Programme und Skripte) berechtigt.

Wernieman · 20 März 2018, 07:41:38

Mann sollte bei solchen zeilen auch aufpassen, wer alles diese Dateien "bearbeiten" darf. Am besten gleich für alle "sperren".

Code Auswählen

chmod -w Datei

Als root (oder mit sudo) geht es dann immer noch ...

Master_Nick · 20 März 2018, 08:30:37

Zitat von: HausHH am 20 März 2018, 06:34:06
Man sollte noch mal betonen, dass eine Einstellung
pi ALL=(ALL) NOPASSWD: ALL
wie in dem Artikel geschrieben, zwar ganz toll funktioniert, aber die Sicherheit kompromittieren kann.
Falls Fhem von außen erreichbar ist, würde ich von so einem "Scheunentor" abraten.

Ich habe per Visudo folgende Zeile eingetragen, die bei mir funktioniert:
fhem ALL = NOPASSWD: /opt/fhem/FHEM/backup.sh,/opt/fhem/FHEM/presence.sh,/usr/bin/arp-scan,/usr/sbin/hping3

Also nur die verwendeten Komponenten (Programme und Skripte) berechtigt.

Dem Stimme ich absolut zu - die einzelnen Scripte und Programme einzutragen (so habe ich es auch gemacht) ist deutlich sicherer als einfach ALL.

Ajuba · 20 März 2018, 08:34:55

Hilfe, in welch gefährlicher Linux-Ecke bin ich denn da wieder gelandet.

Ein kurzer Check heute früh (auf die Schnelle mit nano - nur zum Nachschauen) hat ergeben, dass mein sudoers komplett leer wäre. - Kann das sein, ist das normal?

War für euch Linux Profis die ganze Zeit klar, dass in sudoers was drin stehen muss?
Oder kann es sein, dass ich früher mal wo was verbockt habe und sudoers ist nur ein Versuch das wieder gerade zu biegen?
Ich bin gerade ziemlich verunsichert weil überall steht wie gefährlich Fehler in sudoers sein können.

Bevor ich mich heute Abend ans Werk mache beschreibe ich im Folgenden was ich dann versuchen werde:
Als erstes mit dd ein Image ziehen, falls ich was kaput mache.
Dann

Code Auswählen

cd /etc
sudo visudo sudoers

dort trage ich dann folgendes ein mit einer Leerzeile am Ende

Code Auswählen

fhem    ALL = NOPASSWD: /opt/fhem/FHEM/backup.sh,/opt/fhem/FHEM/presence.sh,/usr/bin/arp-scan,/usr/sbin/hping3

Wie speichere ich dann ab? Gleich wie be Nano mit Ctrl-X y Enter?

Und dann wurde noch folgendes empfohlen

Code Auswählen

chmod -w sudoers
Muss ich dann den Raspi neu starten?
Habe ich was Wesentliches vergessen?

Master_Nick · 20 März 2018, 08:42:59

Also um damit mal aufzuräumen - es ist gefährlich es auf ALL zu haben, wenn jemand irgendwie Zugriff auf FHEM und damit auf den user fhem im System bekäme.
Somit hat es eine potenzielle Gefahr aber keine sofortige akute alles zerstörende in dem Moment wo man was tut.

Mit der Liste beschränkt man genau auf die Sachen die der User fhem machen soll und darf. So wäre dann ein Kapern vom User nicht so wild, weil er nur bestimmtes darf.

Ich mache es eigentlich nicht mit "sudo visudo".

Die Datei die man allerdigns damit öffnen würde enthält bei mir:

Code Auswählen

Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# See sudoers(5) for more information on "#include" directives:

#includedir /etc/sudoers.d

Und ich beziehe mich nun genau auf den Teil: "#includedir /etc/sudoers.d"

Genau dort gehört es meiner Meinung nach hin.

Ich habe daher die Datei "/etc/sudoers.d/010_fhem-nopasswd"

Mit dem Inhalt:

Code Auswählen

fhem ALL = NOPASSWD: /opt/fhem/FHEM/presence.sh, /usr/bin/arp-scan, /usr/sbin/hping3

MadMax-FHEM · 20 März 2018, 08:46:12

Bevor über irgendwelche Artikel gewettert wird sollten diese gelesen werden!
Dort wird es ausführlich erläutert inkl. dem Hinweis auf "Scheunentor" und auch die Herangehensweise für gezielte Anwendungen freizugeben...

Ebenso wie von Master_Nick erläutert der Hinweis zu /etc/sudoers.d/
Hängt aber halt vom System ab...

Und übrigens: bei Standardinstallation hat User pi per sudo ohne Passwort alle Rechte...

Gruß, Joachim

Master_Nick · 20 März 2018, 08:53:50

Jups