Hallo allerseits,
bin ganz neu bei FHEM.
Habe das debian-Paket unter Ubuntu installiert und Update gemacht.
Bevor ich mich daran mache, das Erste-Schritte-HOWTO (https://wiki.fhem.de/wiki/Erste_Schritte_in_FHEM) abzuarbeiten, wollte ich den Zugang erst einmal absichern.
HTTPS zu aktivieren war ja nicht weiter schwer:
attr WEB sslVersion TLSv12:!SSLv3
attr WEB HTTPS 1
Das setzen eines Passwortes hingegen[/quote] funktioniert nicht so richtig. Wenn ich die in dem Wiki gelisteten Befehle eingebe:
(https://wiki.fhem.de/wiki/Allowed)
define allowedWEB allowed
attr allowedWEB validFor WEB,WEBphone,WEBtablet
attr allowedWEB basicAuth { "$user:$password" eq "admin:secret" }
attr allowedWEB allowedCommands set,get
Dann geht danach gar nichts.
Gehe ich auf "Save Config" oder auf das danebenligende Fragezeichen, erhatlte ich "Forbidden command save"
Versuche ich die Änderungen zurück zu nehmen, erhalte ich "Forbidden command attr"
Versuche ich fhem neu zu starten, erhalte ich "Forbidden command shutdown"
Einzig ein "systemctl restart fhem" bringt wieder den vorherigen Zustand wieder zurück.
Weder mit der Beschreibung von allowed (https://vdr2.wolf.lan:8083/fhem/docs/commandref.html#allowed) noch mit dem Wiki-Eintrag zu Allowed (https://wiki.fhem.de/wiki/Allowed) komme ich so richtig weiter.
Was mache ich da flasch?
Naja dass die erwähnten Befehle nicht gehen ist "logisch":
Zitat
attr allowedWEB allowedCommands set,get
heißt eben nur get und set ist erlaubt... ;)
ABER: wenn du eh erst noch "übst" warum dann gleich mit komplizierten Dingen beginnen ;)
Spiel doch erst mal rum und arbeite dich in fhem etc. ein und dann Schritt für Schritt ein "richtiges System" hochziehen.
Ich würde mir ja das erste System "aufheben" als Testsystem und das zweite System dann (mit den Erfahrungen des ersten Systems) sauber hochziehen...
Wie du meiner Signatur entnehmen kannst habe ich sogar 2 Testsysteme (und bei "Bedarf" auch mal schnell ein weiteres ;) )...
So ist mein Hauptsystem (oder meine beiden Hauptsysteme: bei mir und meiner Freundin) immer "sauber", weil "experimentiert" wird auf dem/den Testsystem(en)... :)
Du bist ja auch im eigenen Netz? Brauchst ja zum "Spielen" auch keinen Zugang von außen?! Also wie bereits geschrieben: warum dann gleich "das" umsetzen ;)
EDIT: wenn du jetzt da wieder rauskommen willst, dann musst du entweder auf der Linux-Console die fhem.cfg bearbeiten, vorher fhem stoppen (sollte man zwar eigentlich vermeiden bzw. sich nicht angewöhnen, ebensowenig wie mit dem fhem-internen Editor / aber ausnahmsweise...). Oder fhem stoppen die demo.cfg über deine fhem.cfg kopieren und von vorne ;)
Gruß und viel Spaß, Joachim
Zitat von: MadMax-FHEM am 10 Januar 2021, 18:19:11
Naja dass die erwähnten Befehle nicht gehen ist "logisch":
heißt eben nur get und set ist erlaubt... ;)
Für einen Anfänger muss das nicht unbedingt "logisch" sein.
Wäre es nicht sinnvoll, im Wiki und im "Erste Schritte" ein Beispiel zu hinterlegen, das auch wirklich funktioniert? Vielleicht sogar mit einer gewissen Abstufung, wie zB ein Zugang für Administration und ein zweiter Zugang für die normale Nutzung?
Zitat
ABER: wenn du eh erst noch "übst" warum dann gleich mit komplizierten Dingen beginnen ;)
Weil ich auch Test-Systeme entsprechend absichere.
Nenne mich paranoid, aber fhem lässt über das web-Interface das Ausführen von beliebigem Code zu. Ein Angreifer kann solch ein Test-System als Sprungbrett nutzen, um weitere Angriffe im Netzwerk vorzunehmen.
Ja aber wenn jemand schon im eigenen Netz ist, kann er das sowieso ;)
Und "beliebigen" Code nun auch nicht. Alles was ein "normaler" User darf... ;)
Aber klar: dein System, deine Vorgaben...
Naja: allowedCommands ;)
Und: jeder darf am Wiki und am Einsteiger... und und und mitmachen!
Auch du!
Viel Spaß dann noch, Joachim
Zitat von: MadMax-FHEM am 10 Januar 2021, 19:45:48
Ja aber wenn jemand schon im eigenen Netz ist, kann er das sowieso ;)
Dann braucht man auch für Produktiv-Systeme keine Absicherung, das eigene Netz ist ja sicher ;-))
ZitatUnd "beliebigen" Code nun auch nicht. Alles was ein "normaler" User darf... ;)
Das ist doch schon eine ganze Menge.
Die erste Voraussetzung für eine Privilege-Escalation ist damit auch schon gegeben.
Und für DOS reicht das allemal.
Zitat
Naja: allowedCommands ;)
Da ist aber nicht aufgelistet, welche Commands verfügbar sind.
Müssen denn für einen Admin-Zugang alle 51 unter "FHEM commands" aufgelisteten Commands eingetragen werden?
Und was ist wenn Module weitere Commands hinzufügen? (oder ist das gar nicht möglich?)
Zitat
Und: jeder darf am Wiki und am Einsteiger... und und und mitmachen!
Auch du!
Dürfen ist das Eine.
Nicht dass ich mich drücken wollte, aber gerade bei einem so kritischen Punkt sollte das doch besser jemand machen, der auch das entsprechende Hintergrundwissen hat...
Zitat von: jw9 am 10 Januar 2021, 21:17:23
Dann braucht man auch für Produktiv-Systeme keine Absicherung, das eigene Netz ist ja sicher ;-))
Richtig.
Wenn fehm nicht nach außen offen ist: wozu absichern, wenn ICH der EINZIGE bin, der zugreift... ;)
Zitat von: jw9 am 10 Januar 2021, 21:17:23
Das ist doch schon eine ganze Menge.
Die erste Voraussetzung für eine Privilege-Escalation ist damit auch schon gegeben.
Wenn du dem fhem User nicht mehr zulässt als nach einer Standardinstallation auch nicht viel...
...und nicht wirklich möglich.
Führt aber alles zu weit: jeder sein System...
Zitat von: jw9 am 10 Januar 2021, 21:17:23
Und für DOS reicht das allemal.
Naja: nur wenn nach außen offen. Meines ist nur LOKAL zugreifbar. Da müsste ich meine eigenen DOS fahren ;)
Aber: siehe Punkt zuvor ;)
Zitat von: jw9 am 10 Januar 2021, 21:17:23
Da ist aber nicht aufgelistet, welche Commands verfügbar sind.
Nein aber welche du zulässt ;)
Zitat von: jw9 am 10 Januar 2021, 21:17:23
Müssen denn für einen Admin-Zugang alle 51 unter "FHEM commands" aufgelisteten Commands eingetragen werden?
Und was ist wenn Module weitere Commands hinzufügen? (oder ist das gar nicht möglich?)
Dürfen ist das Eine.
Nein. Einfach das Attribut weglassen. Ist keine "Pflicht" alle möglichen Attribute (die es gibt) zu setzen/verwenden ;)
Auch nein. fhem-Befehle sind fhem-Befehle. Hmm, wobei. Ich hab das noch nicht getestet. Also ob. z.B. ein cmdalias dann neu wäre. Aber es ist ja trotzdem so: du sagst was erlaubt ist, nicht umgekehrt.
D.h. wenn du einen bestimmten Befehlssatz zulässt und es käme ein neues Kommando: nicht erlaubt ;)
Äh: und das andere?
Zitat von: jw9 am 10 Januar 2021, 21:17:23
Nicht dass ich mich drücken wollte, aber gerade bei einem so kritischen Punkt sollte das doch besser jemand machen, der auch das entsprechende Hintergrundwissen hat...
Naja in dem Fall ist der "Erstanwender" ja wohl mal die kompetenteste Person die man kriegen kann ;)
Viel Spaß noch, Joachim