UPDATE 31.10.: Amazon Alexa - ioBroker Skill läuft aus ?

duffbeer2000

@qosi Sobald du den Privileged mode aktiviert hast interessieren die capabilities nicht mehr da sie dann alle aktiviert sind. Sicherheitstechnisch solltest du den Privileged mode deaktivieren und nur die benötigten capabilities aktivieren. Ich kann das nicht oft genug sagen.

Wenn ein externer angreifer in einen Container eindringt der im Privileged mode läuft, kann er auf eurem Host (Diskstation) sehr großen Schaden anrichten, wie z.B. alle Platten löschen.

Und nun zum eigentlichen Problem:

• schalte den Container aus
• Da du vorher ohne priviledged ausgekommen bist schalt es wieder aus
• dreh die capabilities wieder auf den Ursprungszustand zurück
• aktiviere folgende capabilities zusätzlich zu den Standardmäßigen.: "NET_ADMIN" "NET_RAW" und "NET_BIND_SERVICE"
• Starte den Container wieder
• Führe in der Console folgende Befehle aus:

gosu root setcap cap_net_admin,cap_net_raw,cap_net_bind_service=+eip $(eval readlink -f `which arp-scan`)
gosu root setcap cap_net_admin,cap_net_raw,cap_net_bind_service=+eip $(eval readlink -f `which node`)
gosu root setcap cap_net_admin,cap_net_raw,cap_net_bind_service=+eip $(eval readlink -f `which arp`)
gosu root setcap cap_net_admin,cap_net_raw,cap_net_bind_service=+eip $(eval readlink -f `which hcitool`)
gosu root setcap cap_net_admin,cap_net_raw,cap_net_bind_service=+eip $(eval readlink -f `which hciconfig`)
gosu root setcap cap_net_admin,cap_net_raw,cap_net_bind_service=+eip $(eval readlink -f `which l2ping`)

• Starte den Container neu

jgee2

@andre,

Hi André,

ja, da habe ich viel durcheinander gebracht, bitte entschuldige. Versucht hatte ich tatsächlich ein Update des js-controllers, das dann fehlgeschlagen ist. Nochmals danke für deine Hilfe.

Leider bekomme ich auch mit deiner Anleitung hier den Container nicht zum Laufen. Weder im Bridge- noch im Host-Modus. Ich habe daraufhin einen neuen ("nackten") Container installiert und darin mein Backup mit "iobroker restore 0" hergestellt. Sobald das Backup wiederhergestellt wurde, funktioniert auch der Container nicht mehr. Ich scheine mir da richtig was kaputt gemacht zu haben.

Ich habe bereits begonnen, alles neu aufsetzen, das ist soweit lediglich Arbeit... Nur einige meiner Javascripts würde ich gerne wiederherstellen, da da viel Arbeit reingeflossen ist. Weißt du (oder sonst jemand), wie ich aus dem ioBroker Backup einzelne Teile, nämlich die eigenen Javascript-Dateien, wiederherstellen kann? Soweit ich das sehen kann, liegen die alle in einer ziemlich großen JSON-Datei, in meinem Fall 8 MB. Da hat mein Atom Editor große Schwierigkeiten mit...

Beste Grüße

Jo

duffbeer2000

@jgee2 Probier mal folgendes bevor du einzelne Sachen wiederherstellst:

• erstelle dir ein neues iobroker_data-Verzeichnis (kannst auch anders nennen)
• lege in das neue iobroker_data-Verzeichnis das Backup-File
• erstelle dir nochmal einen nackten Container mit dem neuen iobroker_data-Verzeichnis
• starte den Container

Jetzt sollte automatisch ein Restore laufen, das dauert einige Zeit bis es komplett abgeschlossen ist. Je nach Anzahl an Adaptern bis zu 2 Stunden oder mehr.

Und heb dir das alte iobroker_data-Verzeichnis auf, dann kann man wenns nicht funktioniert auch damit weiter machen.

RK62

@jgee2 Beim neuen System / nach der Reparatur empfiehlt es sich diese Einstellung in der javascript-Instanz zu setzen:

Das Verzeichnis solltest Du vorher manuell anlegen.

Damit werden dann permanent alle Skripte lokal auf das Filesystem synchronisiert und können dort oder im Admin geändert werden.
Mit Hyperbackup hat man dann auch Generationssicherungen der Skripte und kann problemlos auch ein einzelnes mal wieder zurückholen.

Gruß, Ralf

jgee2

@duffbeer2000

Hi! Das habe ich gemacht. Die Fehlermeldung beim Starten des Containers war sinngemäß, dass Dateien im Verzeichnis entdeckt wurden, die kein ioBroker Backup wären. Da habe ich dann aufgegeben. Vermutlich war das Backup bereits korrupt. Hab was draus gelernt: Meine ioBroker-Instanz wird bei mir jetzt genauso pfleglich behandelt, wie auch andere Daten. Backups mache ich jetzt regelmäßig und automatisch...

Trotzdem danke und viele Grüße

Jo

jgee2

@RK62

Hi Ralf,

super Tipp, danke dir! Schaue ich mir nachher direkt an. Der größte Aufwand war tatsächlich, die Scripte aus der JSON-File herauszuziehen und wieder in Betrieb zu nehmen.

Viele Grüße

Jo

qosi

@duffbeer2000 said in [HowTo][Anleitung] Installation ioBroker in Docker auf Synology DiskStation:

gosu root setcap cap_net_admin,cap_net_raw,cap_net_bind_service=+eip $(eval readlink -f which arp-scan)

Hallo duffbeer,

schalte den Container aus --> check
Da du vorher ohne priviledged ausgekommen bist schalt es wieder aus --> check
dreh die capabilities wieder auf den Ursprungszustand zurück --> check
aktiviere folgende capabilities zusätzlich zu den Standardmäßigen.: "NET_ADMIN" "NET_RAW" und "NET_BIND_SERVICE" --> check
Starte den Container wieder --> check
Führe in der Console folgende Befehle aus: --> ja das hab ich auch so versucht, leider passt ihm hier, wie bei vielen anderen Meldungen die man im log sieht im Moment, diese File Geschichte nicht.

root@iobroker1:/opt/iobroker# gosu root setcap cap_net_admin,cap_net_raw,cap_net_bind_service=+eip $(eval readlink -f `which arp-scan`)
Failed to set capabilities on file `/usr/sbin/arp-scan' (Operation not supported)
The value of the capability argument is not permitted for a file. Or the file is not a regular (non-symlink) file
root@iobroker1:/opt/iobroker#

duffbeer2000

@jgee2 Lass mich raten, du hast kein neues iobroker_data Verzeichnis angelegt sondern nur den Inhalt gelöscht? Wenn ja ist das logisch da in dem Verzeichnis auch versteckte Dateien sind. Daher sagte ich auch "erstelle dir ein neues iobroker_data-Verzeichnis"

@qosi
apr-scan ist aber installiert? kannst du das mal prüfen?
Gingen die anderen befehle durch? Wenn nicht dann versuchen wir es mal mit dem User iobroker, vielleicht hilft das.

gosu iobroker setcap cap_net_admin,cap_net_raw,cap_net_bind_service=+eip $(eval readlink -f `which arp-scan`)
gosu iobroker setcap cap_net_admin,cap_net_raw,cap_net_bind_service=+eip $(eval readlink -f `which node`)
gosu iobroker setcap cap_net_admin,cap_net_raw,cap_net_bind_service=+eip $(eval readlink -f `which arp`)
gosu iobroker setcap cap_net_admin,cap_net_raw,cap_net_bind_service=+eip $(eval readlink -f `which hcitool`)
gosu iobroker setcap cap_net_admin,cap_net_raw,cap_net_bind_service=+eip $(eval readlink -f `which hciconfig`)
gosu iobroker setcap cap_net_admin,cap_net_raw,cap_net_bind_service=+eip $(eval readlink -f `which l2ping`)

jgee2

@duffbeer2000 said in [HowTo][Anleitung] Installation ioBroker in Docker auf Synology DiskStation:

@jgee2 Lass mich raten, du hast kein neues iobroker_data Verzeichnis angelegt sondern nur den Inhalt gelöscht? Wenn ja ist das logisch da in dem Verzeichnis auch versteckte Dateien sind. Daher sagte ich auch "erstelle dir ein neues iobroker_data-Verzeichnis"

Nein, das root-Verzeichnis war ein neues mit einem anderen Namen. Das Backup war bereits defekt. Der ioBroker hat sogar gestartet und alle Adapter ausgeführt (Daten wurden an influxDB gesendet und mit dem KNX-Bus ausgetauscht), aber die Weboberfläche des Admin-Adapters wollte nicht starten. Ältere Backups waren zu alt für meinen Zweck. Mittlerweile habe ich alles wieder hergestellt und bin dadurch etwas schlauer geworden als zuvor.

qosi

@duffbeer2000

Sers,

also arp-scan ist wohl da...

root@iobroker1:/opt/iobroker# arp-scan -lgq --retry=7
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.9.5 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.0.2     02:42:c0:a8:00:02

Mit User iobroker sieht es etwas anders aus bei den Befehlen

root@iobroker1:/opt/iobroker# gosu iobroker setcap cap_net_admin,cap_net_raw,cap_net_bind_service=+eip $(eval readlink -f `which arp-scan`)
unable to set CAP_SETFCAP effective capability: Operation not permitted
root@iobroker1:/opt/iobroker#

Das CAP_SETFCAP ist jedoch an...

Auch bei den anderen Befehlen ist die Meldung die gleiche.
Habe mal den Privileged mode eingeschaltet, auch hier der gleiche Fehler.

Dazu sagt google, dass man andere User außer root nicht unbedingt in sudo/sudoers Gruppe legen soll.
Da ich kaum Linux Erfahrung habe, bin ich hierzu ratlos...

Danke für Eure Unterstützung!

Bongo

Ich wollte ein Recreate bei einem Container machen und ich glaube ich habe es versehentlich den Container für Portainer selbst gemacht. Jetzt kommt immer die Fehlermeldung:
unable to retrieve stacks

In Stacks sind keine Stacks und die Container List sieht so aus:

Kann mir einer der Portainerspezis sagen was man da tun kann?

Danke für die Unterstützung.

Bongo

Ich konnte den Portainer Container über Docker im DSM neu starten. Es scheint wieder zu laufen!

tugsi

Moin,
hab die Tage auf die neueste V4.2 hochgerüstet.
Soweit läuft auch alles, nur meine Synology-Instanz kann sich nicht mehr mit der DS verbinden.
Ich habe ein MACVLAN und der Container schaut gleichzeitig auch auf das Bridge-Netzwerk.
Dies hatte ich damals mal eingerichtet, da der Container sonst nicht mehr auf einen anderen Container bzw auf sein Host schauen kann, hatte ja auch geklappt.

Jetzt ist der Thread hier mittlerweile doch sehr groß und unübersichtlich geworden, ich finde den Part nicht mehr, wo dies alles erklärt wurde. Beim Andre auf Buanet wird auch nur auf dieses Forum verwiesen bei den Kommentaren.

Mein Bridge-Netzwerk ist:
bridge
Subnet - 172.17.0.0/16 Gateway - 172.17.0.1

ioBroker-Container (MACVLAN):
iob_public
Subnet - 192.168.33.0/24 Gateway - 192.168.33.100
und hat die interne Adresse:
172.17.0.3

Die DS hat:
192.168.33.101

Wie gesagt, es lief ja bis vor kurzem, daher wundert mich jetzt, wenn ich in den Terminal gehe und einen Ping auf die Synology machen möchte, der die nicht erreichen kann.

hetti72

@tugsi Aus dem Container solltest du die Synology unter der 172.17.0.1 erreichen können. Falls nicht könnte es sein das du die Firewall auf der Synology aktiviert hast?

gruß,
Hetti

tugsi

@hetti72
hallo Hetti,
ja die 172.17.0.1 kann ich erreichen, nur ich hatte im Adapter immer die 192.168.33.101 eingestellt gehabt und damit klappte es eigentlich auch.
Deswegen bin ich jetzt irritiert, dass ich die 192.168.33.x-Bereich nicht mehr erreichen kann aus den Container.

hetti72

@tugsi Du hast wahrscheinlich mit dem iobroker update auf 4.2 nach der Buanet Anleitung ein MACVLAN eingerichtet, oder?
Bei dieser Netzwerkvariante können sich die Synology und auch alle anderen Container die im MACVLAN Modus laufen Netzwerktechnisch untereinander nicht erreichen. Eine Kommunikation ist nur über das zuätzliche Docker interne Bridge Netzwerk möglich.
Das lässt sich nur mit Synologys umgehen die 2 Netzwerkanschlüsse haben. Da lässt man über den einen die Diskstation kommunizieren und auf den anderen physikalischen Anschluss bindet man das MACVLAN, dann könnte der iobroker im Container wieder die Synology mit der "normalen" IP erreichen.

tugsi

@hetti72
Ich bin etwas verwirrt. Nein habe diese Variante schon seit der Version3 laufen. Damals hatte ich alles umgestellt. MACVLAN eingerichtet und das Bridge-Netzwerk.
Wie gesagt, bisher lief es auch, nur nach dem Update auf die V4.2 ist mir im Log aufgefallen, dass dutzende Fehlermeldungen vom Synologyadapter kamen, dass er die DS nicht erreichen kann.
In den Einstellungen war meine normale 192er-IP eingetragen, also lief es vorher ja auch so mit MACVLAN, sonst hätte ich ja auch so schon Errorlogs bekommen.
Allerdings habe ich den Synologyadapter nicht in meiner VIS oder so eingebunden, daher bin ich jetzt verwirrt.
Ich habe zwar die 918+, benutze die zwei Netzwerkschnittstellen aber im Bond.
Mit der internen Docker-IP kann ich den Host erreichen, das klappt.
Also hätte ich im MACVLAN nie meine DS über die "normale IP" erreichen können?
Mich verwundert, dass ich die 192er da drin stehen hatte.

hetti72

@tugsi Ich habe nochmal ein wenig experiementiert und muss meine Aussage von weiter oben teilweise korrigieren. Alle Container die eine Adresse aus dem gleichen MACVLAN haben können sich über diese IP Adresse untereinander erreichen, und auch alle anderen Geräte im Netzwerk ausserhalb des MACVLAN´s auf der Synology können erreicht werden (z.B. eine CCU oder HUE Bridge).
Lediglich der Docker Host ist nicht mit seiner "normalen" IP Adresse erreichbar, das wird im wohl Linux Kernel verhindert und ist eine Sicherheitsfunktion.
Man kann das ganze aber aushebeln in dem man auf der Synology eine weitere Netzwerkbridge konfiguriert. Es gibt da verschiedene Anleitungen im Netz, zb hier
https://www.synology-forum.de/showthread.html?103178-macvlan-Zugriff-auf-den-Host

Wenn du also so eine Bridge vorher nicht konfiguriert hattest dann dürfte ein Zugriff aus dem IOBroker Container auf die Synology via der 192er Adresse nie funktioniert haben, aber so genau lässt sich das aus der ferne nicht diagnostizieren.

Daniel76

@rostnagel bist Du mit dem Bluetooth stick schon weiter gekommen? Ich habe ihn bisher auch nicht zum laufen bekommen.

andre

@hetti72 Da hättest du nicht viel experimentieren müssen :) Ich habe zum Thema MACVLAN hier schon einige Male referiert:
https://forum.iobroker.net/search?term=MACVLAN &in=posts&matchWords=all&by[]=andre&sortBy=timestamp&sortDirection=desc&showAs=posts
Kann daher deine Erkenntnisse nur bestätigen. In einem der Beiträge habe ich auch einen Auszug der Docker Doku gepostet. Da steht es auch nochmal so drin.

MfG,
André