falls jemandnicht mehr auf sein FHEM kommt....

rudolfkoenig · 02 Juni 2017, 20:12:06

Ich habe was gebaut und angekuendigt, siehe https://forum.fhem.de/index.php?topic=72717

Zitatist der hinweis nicht in motd besser aufgehoben als im menü?

Ich wollte keinen Hinweis, sondern ein allowed Instanz automatisch anlegen, und analog zu Logfile per Menue-Eintrag darauf verweisen. Da ich aber nicht so recht entscheiden kann, wie/wann ich diese Instanz anlege, habe ich den Plan erstmal verschoben.

ZitatWenn wir dabei sind, FHEM sicherer zu machen, wäre m.A. nicht schlecht eine Seite "Hinweise zur Sicherheit" auf der Hauptseite vom Wiki zu verlinken.

Sobald diese Seite existiert, wird sie in der FHEM-motd bei der Sicherheitsmeldung erwaehnt.

ZitatDas Thema Sicherheit wird in FHEM zu stiefmütterlich behandelt

Diese Bemerkung finde ich unfair:
- Passwort/basicAuth oder allowfrom existiert in FHEM schon seit "ewig".
- die haessliche motd Sicherheits-Meldung nervt mich auch schon seit langen, aber ich baue es nicht aus, damit die Anfaenger keine Ausrede haben.
- ich hatte wochenlang Aerger nach der Einfuehrung von csrfToken, und musste mir oefters anhoeren, wozu das gut sein soll.
- mit dem Authenticate/Authorize Framework gibt es sehr weitreichende Moeglichkeiten FHEM abzusichern. Jeder koennte ein Kerberos/Ldap/ActiveDirectory/OAuth/etc Modul programmieren.
- in der DetailAnsicht eines allowed Moduls kann man Passwoerter einfach setzen und mit SHA256 speichern.

KölnSolar · 02 Juni 2017, 21:13:34

Hi Rudi,

erstmal wieder ein generelles Danke für FHEM und für das neue Feature. Die Beschreibung des Features klingt gut.

ZitatDiese Bemerkung finde ich unfair

Nicht unfair, sondern missverständlich

Ich meinte weniger fehlende Sicherheitsfeatures, sondern proaktiver den lesenden User drauf stoßen oder, wie mit dem neuen Feature und auch csrfToken, den User zur Sicherheit zwingen(Änderungen ist er dann selbst Schuld).

Im Einsteiger-pdf ist meines Wissens nichts zum Thema erwähnt. Im Wiki auf der Hauptseite: Fehlanzeige, in "Erste Schritte" auch ......Und im Forum ? Wonach sollen Laie bis Amateur suchen ? Vielleicht wäre ja auch ein Subforum "FHEM und Datensicherheit" eine Möglichkeit Threads wie diesen hier zum nachschlagen zu sammeln.

Allen schöne und sichere Pfingsttage
Markus

Muschelpuster · 02 Juni 2017, 22:57:20

Zitat von: KölnSolar am 02 Juni 2017, 21:13:34...Im Einsteiger-pdf ist meines Wissens nichts zum Thema erwähnt. Im Wiki auf der Hauptseite: Fehlanzeige, in "Erste Schritte" auch .....

Eine ähnliche Diskussion gab es schon mal bezgl. des Editierens der Konfig-Datei. Warum fummeln immer so viele Einsteiger an der Konfig rum? Auch ich habe am Anfang viel dran rum gefummelt, weil viele Anleitungen sich auf die Konfig beziehen.
Aber da sind alle gefragt, die etwas beitragen können. Die Entwickler entwickeln und geben eine Basisdoku und die erfahrene User sollten die Programmierleistung mit der Erweiterung der Dokumention 'bezahlen'. Da bin ich immer gerne (im Rahmen meiner immer zu wenig vorhandenen Zeit) dabei. Aber gerade das macht es auch wieder schwierig, denn viele Köpfe denken in viele Richtungen und es kommt nichts aus einem Guss heraus. Das ist ja auch bei den Modulen so - da gibt es eine schicke Oberfläche, auf der anderen Seite die Funktion dazu, aber beide Parts müssen aufwendig miteinander verheiratet werden, weil die Modulentwickler keinen gemeinsamen Standard finden können. Oder es gibt parallele Module die nahezu das Gleiche machen, weil 2 Entwickler so unterschiedliche Philosophien haben, dass sie ihre Kräfte nicht bündeln können.

Aber hey - das ist OpenSource in Reinkultur. Jeder trägt das bei, was er kann. Dafür ist das System aber auch flexibler wie jede professionelle Lösung. Nennt doch mal ein kommerzielles System, welches so viele verschiedene Systeme anbinden kann. Und Backdoors haben keine Chance, weil viel zu viele Entwickler mit unterschiedlichen Ansätzen auf den Code schauen.

Und niemand hat je behauptet, das FHEM etwas für jedermann ist!

Leider ist der allgemeine Umgang mit EDV im Allgemeinen sehr sträflich. Um bei den beliebten Autobeispielen zu bleiben: Man braucht einen Führerschein. In der EDV wird immer vieles vorausgesetzt und viele meinen, so ein Computer muss schon so ticken, wie jeder es sich gerade denkt. Das geht schon in der Schule los. Ohne grundlegende Ausbildung arbeiten die Schüler mit Anwendungssoftware. Und weiter geht es im Leben - man kauft sich Android, Windows etc., meldet sich bei Webdiensten an, holt sich Alexa in's Haus und überall akzeptiert man die Ausnutzungsbedingungen ungelesen.
Wenn jetzt meine Windose gehackt wird, ist selbst eine Passwortabfrage von FHEM egal - der Hacker hat die Macht über FHEM. und der fragt nicht, ob das jetzt strafbar ist, oder nicht. Viele geben die Hoheit über ihr FHEM freiwillig an Amazon's Stellvertreterin Alexa ab.

Von daher ist das hier aus meiner Sicht eine etwas schräge Diskussion. Rudi hat eine Grundabsicherung gemacht und damit ist das doch aber mehr als gut.

entspannte Grüße
Niels

krikan · 03 Juni 2017, 07:36:02

Zitat...Im Einsteiger-pdf ist meines Wissens nichts zum Thema erwähnt. Im Wiki auf der Hauptseite: Fehlanzeige, in "Erste Schritte" auch .....

Rudi hat vor längerer Zeit dazu unter https://fhem.de/HOWTO.html#security bzw. https://fhem.de/HOWTO_DE.html#security einige kurze Hinweise gegeben. Ihr konnt gerne Aktualisierungen für den Abschnitt bzw. auch das ganze HOWTO liefern. Ich würde mich dann um die Einbindung kümmern.

Gruß, Christian

vbs · 03 Juni 2017, 12:43:30

Ich kann in dem Ankündigungsthread nicht anworten, darum mach ich das hier:

ZitatIch gehe davon aus, dass:
- aus dem Internet direkt erreichbare FHEM-Instanzen ein Passwort gesetzt haben

In meinem Fall trifft das nicht zu. FHEM ist zwar von außen erreichbar, jedoch mit einem ReverseProxy davor. Der ReverseProxy übernimmt auch die Authentifikation. Die FHEM-Instanz dahinter hat dann kein Passwort.

Wie kann ich mein FHEM dann weiter erreichen von außen? Muss ich dann "allowfrom" auf ".*" setzen?

Benni · 03 Juni 2017, 12:54:12

Zitat von: vbs am 03 Juni 2017, 12:43:30
In meinem Fall trifft das nicht zu. FHEM ist zwar von außen erreichbar, jedoch mit einem ReverseProxy davor. Der ReverseProxy übernimmt auch die Authentifikation. Die FHEM-Instanz dahinter hat dann kein Passwort.

Das ist doch genau der Fall:

Zitat von: rudolfkoenig am 02 Juni 2017, 19:53:57
- Proxy ueber Apache/Nginx/etc eine lokale Adresse verwendet

Daran sollte sich doch nichts geändert haben.

Was genau funktioniert denn bei dir jetzt nicht?

vbs · 03 Juni 2017, 12:59:29

Achso danke, da hast du bestimmt Recht. Sorry, noch früh am morgen

. Hatte noch nicht gewagt upzudaten, weil ich befürchten musste, dass dann der externe Zugriff nicht mehr funktioniert...

Benni · 03 Juni 2017, 13:06:33

Zitat von: vbs am 03 Juni 2017, 12:59:29
Sorry, noch früh am morgen .

Ääh ... ok!

the ratman · 03 Juni 2017, 13:15:09

@rudolfkoenig

weil du damit

ZitatUnd wer keinen direkten Zugang zum Rechner hat, der soll kein FHEM-update machen.

sicher mich meinst.

erstens ist das eine FALSCHE annahme von dir
und
zweitens nicht sehr hilfreich für mein jetziges problem (das bis zu miener ankunft zuhause sowieso unlösbar bleiben wird).

ich bitte somit nicht nur um hilfe oder wenigstens die passenden infos, wie in meinem anderen fred, ich werd auch noch folgende frage stellen:
wann NACH einem LOKALEN update bitte, darf ich das haus den verlassen? ist 1 stunde genug, oder soll ich doch lieber 1 woche warten?

dev0 · 03 Juni 2017, 13:29:16

Zitatwann NACH einem LOKALEN update bitte, darf ich das haus den verlassen?

Wenn Du sicher seinen möchtest, dass nach einem Update alles funktioniert, dann mußt Du Dein System vollständig testen.

Benni · 03 Juni 2017, 13:30:10

Zitat von: the ratman am 03 Juni 2017, 13:15:09
weil du damitsicher mich meinst.

Du bist aber ganz schön egozentrisch veranlagt.

Zitat von: rudolfkoenig am 03 Juni 2017, 13:07:27
Und wer keinen direkten Zugang zum Rechner hat, der soll kein FHEM-update machen.

Beides sind mAn Selbtverstaendlichkeiten, und erwarte sie selbst von Anfaengern.

Ich glaube das bezog sich eher genau auf den einen Post vor Rudis Post in dem Thread!
(Kannst da ja nochmal nachschauen)

Und zum Thema Updates:

Wieso machst du überhaupt ein Update, wenn du weg musst?
Hat davor irgendwas nicht funktioniert, was mit dem Update behoben werden sollte?
Idealerweise informiert man sich vor einem Update, was für Änderungen kommen. Wenigstens in den Ankündigungs-Bereich im Forum sollte man einen kurzen Blick werfen. Und idealerweise hat man ein Testsystem auf dem man zuvor ein Update testet.
Wenn nicht, dann sollte man auch genügend Zeit einplanen um sein Produktivsystem nach Update zu prüfen.
Updates sind immer kritisch und können immer mal zu Problemen führen. Dabei ist es Egal, ob es sich um FHEM-Updates, Linux-Updates oder Windows-Updates handelt.

Und die Art wie du her auf Rudi losgehst finde ich daher absolut unangebracht!

rudolfkoenig · 03 Juni 2017, 13:34:04

Ich erreiche mein FHEM von aussen ueber Apache, und auch wenn ich es theoretisch weiss, dass es funktionieren muss, habe ich es vor dem checkin Sicherheitshalber getestet.

Falls irgendwer mit dem Feature Probleme hat, der kann allowfrom auf .* setzen.
Sollte aber trotzdem die Umstaende beschreiben, damit uns diese Sonderfaelle bekannt sind, und es entweder fixen, oder andere davor warnen koennen.

Zitat...sicher mich meinst.

Ich dachte ich habe auf betateilchens "Rant" geantwortet. Wenn FHEM wichtig ist, dann sollte es nach einem update in einer Umgebung getestet werden, wo man im Problemfall das update zurueckdrehen kann. Das ist mit Software, was man teuer bezahlt, nicht anders. Ich kann nicht alle Situationen testen, und csrfToken hat mir gezeigt, dass Sicherheitsfeatures keiner freiwillig aktiviert, einbauen und spaeter aktivieren also nichts bringt. Das heisst nicht, dass ich sinnlose Sachen ohne Nachdenken aktiviere, im Gegenteil, ich bin eher uebervorsichtig.

the ratman · 03 Juni 2017, 13:37:37

@dev0

ZitatWenn Du sicher seinen möchtest, dass nach einem Update alles funktioniert, dann mußt Du Dein System vollständig testen.

was für ein glück, dass ich fhem hab - das kann mich dann ja 3 stunden früher aufwecken.

@Benni

ZitatWieso machst du überhaupt ein Update, wenn du weg musst?

weil ich immer ein update mache und weil ich nie weiß, wann ich weg muß. so gesehen dürft ich wohl keine updates mehr machen.

ZitatHat davor irgendwas nicht funktioniert, was mit dem Update behoben werden sollte?

ja! z.b. die beantwort von hilfeanfragen in diesm forum. weil die erste ist wohl immer: "hast du n aktuelles fhem" *totlach*. ich beuge sozusagen nur problemen vor ... dachte ich bis jetzt.

ZitatUnd die Art wie du her auf Rudi losgehst finde ich daher absolut unangebracht!

ich gehe auf niemanden los, ich will bloß antworten. am besten simple wie: "gib das oder das dort ein, damit du global von extern wieder drauf kommst". anstelle dieser simplen antwort, darf ich aber wieder 2 diskussionen mit vielen fragen und falschen annahmen (von anderen) führen. is bei mir wohl karmisch ...

the ratman · 03 Juni 2017, 13:41:03

@rudolfkoenig
ah, thx für die erste echte antwort.

na wenn du wen anderen meintest, dann tuts mir leid und ich entschuldige mich bei dir!
sah nur echt so aus, als ob ich mit meinem anderen fred gemeint wäre ...

allowform .* - thx, wird gemacht

umstände: mein system ist schon ab router für extern abgesichert. bei mir wärs also doppelt gemoppelt.

rudolfkoenig · 03 Juni 2017, 14:04:52

Zitatumstände: mein system ist schon ab router für extern abgesichert. bei mir wärs also doppelt gemoppelt.

Kannst du das bitte genauer beschreiben, ich kenne so eine Loesung noch nicht. Ich hoffe, dass es eine seltene Ausnahme ist.

Und es tut mir Leid: ich habe vergessen die Aenderung in CHANGED einzutragen, das habe ich jetzt nachgeholt.