Jahresrückblick 2025 – unser neuer Blogbeitrag ist online! ✨

Dutchman

Hmm wir sollten in dieser discussion jetzt aber nicht 2 verschiedenen Themen mit einander vermischen.

1. Absicherung des Datenzugangs innerhalb der Software zwischen Adaptern

2. die Zugriffsstruktur des Datei systems

Thema 2 ist eine andere Geschichte als Thema dieses topics und auch ich stimme zu das 777 nicht ideal ist.

Lest euch dazu Mal die bisherigen discussion durch und Hilfe/Anregungen dazu werden immer sehr gerne gesehen !

Zurück zu dem Adaptern, mja …

Auch hier würde ich probieren die discussion in Detail auseinander zu ziehen, zB:

1. Zugangsdaten welchen durch einen Adapter benutzt werden:

Es sollte

A) niemals der Fall sein das diese Daten Plains Text auf dem Filesystem oder Datenbank hinterlegt sind, leider ist dies bei einigen Adaptern der Fall (zB unifi Adapter habe ich letztens gemerkt)

B) Adapter sollten nie die Möglichkeit haben, auch wen diese verschlüsselt sind, zugangsdaten eines anderen ein zu lesen (kan mir auch keine Funktion vorstellen wobei das nötig ist)

2. welche objecte/states darf ein Adapter sehen/beeinflussen.

Das ist ein sehr schwieriges Thema, zum einen muss es brauchbar sein und wen ein neu Anwender erst alle verschiedene objecte/states freigeben muss wird es sehr schnell unbrauchbar und für "otto normal Verbraucher" kaum zu übersehen.

Dazu gibt es Adapter die halt auch alles sehen können müssen (JavaScript/Admin Mal als Beispiel)

Ich bin sehr vertraut innerhalb der Software Entwicklung mit internen ACL's (Access Control list) und da muss man immer überwiegen was warum und wie bei einem derart integralen Software wie ioBroker und den verschiedenen enduserns (und deren IT Kenntnisse) ist das ne schwierige Angelegenheit.

Auch darin muss ich Apollon rechtgeben, man müsste das Mal komplett ausarbeiten auf Papier/whiteboard und dan entscheiden was sinnvol ist und welche ideeën es gibt zur Umsetzung.

~Dutch

Sent from my iPhone using Tapatalk

Schuko80

Wenn wir hier schon mal beim Thema Sicherheit sind, evtl könnte einer der Netzwerkexperten mal eine Anleitung geben, wie man sein Netzwerk rund um Iobroker absichert. Klar, ich könnte es in ein eigenes Netz, z.B. Gast packen, damit wären dann aber wieder Verbindungsprobleme zum Tv etc. gegeben.

Alles in einem Netz bedeutet aber auch wieder, ein 'böser' Adapter hat direkt Zugriff aufs gesamte Netz - das Thema ist leider mit viel Halbwissen behaftet.

Sio_x

Hallo Ingo,

danke für deine ehrliche Antwort. ;) Ich weiß, dass es nicht so einfach ist, gerade Einsteigern es so leicht wie möglich zu machen. Der ioBroker hat in dieser Hinsicht ein riesiges Potential. Wenn ich das einmal mit einem anderen Produkt vergleiche, hat ioBroker sogar die Nase vorn. Zumindest was den Bedienerkomfort angeht. Aber sicherlich kann ioBroker auch hier noch einiges für die Sicherheit tun.

Es war auch eher die Bedienung des ioBroker, die mich überhaupt dazu veranlasste mich damit zu beschäftigen. Schützt wenigstens zuerst das Admin-Panel. Selbst meine Easy-ESPs verlangen ein Kennwort. Und die kann man noch lange nicht mit der Power vergleichen, welche ein Raspi bietet.

Am Ende möchte ich nur sagen: Die Kette ist nur so stark, wie ihr schwächstes Glied. ;)

mfg

Ronny

Sio_x

@Dutchman:

Hmm wir sollten in dieser discussion jetzt aber nicht 2 verschiedenen Themen mit einander vermischen.

1. Absicherung des Datenzugangs innerhalb der Software zwischen Adaptern

2. die Zugriffsstruktur des Datei systems `

Entschuldigung Dutch, ich wollte dich nicht übergehen, war aber mit meiner Begründung zeitlich zwischen der von Ingo und deiner. Natürlich hast du Recht. Man sollte das nicht vermischen. Aber vielleicht sollte man die Tutorialersteller darauf hinweisen, dass z.B. "chmod 777 Ordner" nicht wirklich zielführend ist. Diese werden aber gerade als erstes angeboten, siehe: www.smarthome****.de

Das soll auch kein "Fingerzeig" sein.

Ich beende hier jetzt die Diskussion um das Dateisystem. Ich werde mich aber weiter mit ioBroker beschäftigen, weil gerade ein Projekt nach einer innovativen Homeautomation sucht und andere, leider aufgrund anderer Komplexitäten herausfallen.

Gruß

Dutchman

@Sio_x

War nicht böse gemeint verstehe mich bitte nicht falsch :)

Das Thema ist auf jedenfall auch eine Baustelle woran gearbeitet werde müsste und da ist jede Bemerkung / Info hilfreich.

Wollte nur vermeiden das wir den roten Faden diesen topics verlieren freue mich aber auf Mehr Beiträge von dir bezüglich diesem Thema ! :)

@Schuko

Leider muss ich zu deiner Frage kannst klar sagen : tut mir leid aber NEIN.

Wir sollten uns als Betreiber des Forums beziehungsweise Ersteller algemein Doku der Branding ioBroker von der artigen Details distanzieren.

Ja zur Software und Einrichtung können wir alles sagen, aber Netzwerk hat nichts mit ioBroker zu tun und ist ein anderes Special-Gebiet.

Die Gesetze sind halt leider auch so wen da was als Grundlage veröffentlicht würd und genau diese Konfiguration bewirkt aus Grund x financiellen schaden ist man m Ende der strafbare …

Also Tips im Forum ja, ich zB darf das noch nicht einmal da ich diplomierter sicherheits Techniker bin.

Wen ich zB ne Doku dazu erstelle und sich etwas ändert in einem Jahr und ich vergesse das zu updaten und dadurch entsteht schaden könnte ich sogar meine Lizenz und Arbeitsplatz verlieren

OK genug offtopic Mal zurück zum Thema bin gespannt ob noch andere gute Vorschläge zum Thema Security der Software haben

Sent from my iPhone using Tapatalk

Schuko80

@Dutchman

Ich glaube da hast du was falsch verstanden.

1. Muss das keiner von euch machen und dokumentieren, es gibt ja auch andere User im Forum.

2. Muss das keine Schritt für Schritt Anleitung sein, war vielleicht auch falsch von mir ausgedrückt, gedacht war da mehr so in die Richtung, das man was an die Hand gibt, bzgl. der Möglichkeiten (z.B.Vlan etc.) . Zum einen wird keiner seine Tricks aus dem Beruf verraten, zum anderen ist jedes Netzwerk und seine Komponenten individuell. Gemeint war halt Allgemein, genau Einlesen muss sich dann schon jeder selber, was aber natürlich um einiges leichter ist, wenn man weiß, in welche Richtung man suchen muß. ;)

apollon77

@Sio_x:

Hallo Ingo,

danke für deine ehrliche Antwort. ;) Ich weiß, dass es nicht so einfach ist, gerade Einsteigern es so leicht wie möglich zu machen. Der ioBroker hat in dieser Hinsicht ein riesiges Potential. Wenn ich das einmal mit einem anderen Produkt vergleiche, hat ioBroker sogar die Nase vorn. Zumindest was den Bedienerkomfort angeht. Aber sicherlich kann ioBroker auch hier noch einiges für die Sicherheit tun.

Es war auch eher die Bedienung des ioBroker, die mich überhaupt dazu veranlasste mich damit zu beschäftigen. Schützt wenigstens zuerst das Admin-Panel. Selbst meine Easy-ESPs verlangen ein Kennwort. Und die kann man noch lange nicht mit der Power vergleichen, welche ein Raspi bietet.

Am Ende möchte ich nur sagen: Die Kette ist nur so stark, wie ihr schwächstes Glied. ;) `

Hi Sio_x,

ja Admin "Standardmäßig absichern" ist auch ein Thema. Wobei das jeder User mit wenigen Klicks hinbekommt :-)

Vor allem zum Thema "Installation ohne sudo" oder den anderen oben angesprochenen Themen ist es garantiert cool wenn jemand eine Art "So habe ich es gescheit gemacht" Artikel für User im Forum schreibt. Auch ohne "Tutorial" Charaker und mit einem Disclaimer ist das generell ein großer Mehrwert für alle :-)

Ingo

Dutchman

@Schuko80:

@Dutchman

Ich glaube da hast du was falsch verstanden. `

Ehm ja jetzt muss ich auch Mal mit der pobacke bloße und mich Mal korrigieren da gebe ich dir Recht (und andere haben mich da auch drauf gewiesen danke dafür!).

Manchmal hat man so nen Tag da kommt nicht richtig was gescheites raus oder man schaut zu schwarz weiß sorry dafür.

Also ja man könnte Mal best practise/usw Case machen eines Aufbaus, ich habe das ja im Grunde genommen auch Mal in einen Unify web-seminar gemacht für Grundeinstellungen.

Habe mich dan auch verpflichtet mich Mal mit Homoran Zusammensetzen zur "practise Case" Netzwerk und Sicherheit und wir werden bezüglich dieses Themas Mal was probieren auf die Beine zu stellen um Netzwerke, Gäste/iot, Firewall settings und externen Zugang zu behandeln.

Also an alle bitte schuldigung für mein etwas zu kurz durch die Kurve geschossenen Bemerkung werde dan dazu Mal was auf die Beine stellen als Wiedergutmachung ;)

Sent from my iPhone using Tapatalk

AlCalzone

@Sio_x:

• /opt/iobroker/ setzen der Berechtigung des Ordners auf "777". Absolut wahnsinnig, jetzt darf wirklich jeder in diesem Ordner alles machen. Inklusive Schadsoftware hineinschreiben. Man muss nur irgendeinen Benutzer auf den Raspi hacken.

• ioBroker muss als root laufen… (? WTF) klar es ist der Ordner /opt/, aber muss das sein. Was dabei das Schlimmste ist, ist die Tatsache, dass man durch eine Sicherheitslücke in ioBroker und z.B. installierten Adapter "ioBroker Simple Terminal Adapter" direkten Root-Zugriff bekommt ohne auch nur Passwörter zu verwenden. Klar es werden ständig andere Ports für jeden Adapter verwendet, aber das ist für mich nur Kosmetik. `
  Kurz hierzu: Apollon hats schon verlinkt und die Dokumentation ist diesbezüglich nicht mehr aktuell. Es gibt inzwischen eine neue Installationsroutine, die

1. dem User einiges abnimmt und

2. ioBroker as user "iobroker" ausführt sowie diesen User zum Owner von /opt/iobroker macht anstatt chmod 777.

100% kommen wir noch nicht an sudo/root vorbei, so muss bspw. der zwave-Adapter zusätzliche Systemmodule installieren und sudo npm install … wird leider gerne noch als die Holzhammermethode empfohlen.

Schuko80

@Dutchman:

@Schuko80:

@Dutchman

Ich glaube da hast du was falsch verstanden. `

Ehm ja jetzt muss ich auch Mal mit der pobacke bloße und mich Mal korrigieren da gebe ich dir Recht (und andere haben mich da auch drauf gewiesen danke dafür!).

Manchmal hat man so nen Tag da kommt nicht richtig was gescheites raus oder man schaut zu schwarz weiß sorry dafür.

Also ja man könnte Mal best practise/usw Case machen eines Aufbaus, ich habe das ja im Grunde genommen auch Mal in einen Unify web-seminar gemacht für Grundeinstellungen.

Habe mich dan auch verpflichtet mich Mal mit Homoran Zusammensetzen zur "practise Case" Netzwerk und Sicherheit und wir werden bezüglich dieses Themas Mal was probieren auf die Beine zu stellen um Netzwerke, Gäste/iot, Firewall settings und externen Zugang zu behandeln.

Also an alle bitte schuldigung für mein etwas zu kurz durch die Kurve geschossenen Bemerkung werde dan dazu Mal was auf die Beine stellen als Wiedergutmachung ;)

Sent from my iPhone using Tapatalk `

Ich glaube Entschuldigungen sind hier nicht nötig, wie du schon schreibst, jeder hat mal nen Tag, wo er/sie nicht auf der Höhe ist und zum anderen darf man nie vergessen, wir schreiben hier, das heißt jeder interpretiert in einen gelesenen Text andere Emotionen rein.

Auf jeden Fall freue ich mich drauf, diesbezüglich was von dir zu lesen.