Archiv für den Monat: September 2017

emoticon-1611718_640-or8

Sicherheit erhöhen – fail2ban installieren und einrichten

FHEM, Hausautomation, Sicherheit, , , , , ,

WIr haben in den vorherigen Beiträgen (SSH-Schlüssel einrichten und HTTPS und Authentifizierung) schon einiges getan, um ungebetene Gäste von unserem Raspberry Pi fernzuhalten. Leider gibt es in dem großen Haifischbecken namens Internet immer wieder auch Personen, die offenbar nichts besseres zu tun haben, als aus den unterschiedlichsten Gründen in fremde Computersysteme einzudringen. Sei es, um Informationen zu extrahieren und damit die eigene Webseite zu schmücken oder um den Onlineshop der Konkurrenz nach Preisen abzufragen und damit die eigenen Preise auf dem Laufenden zu halten oder auch einfach nur um zu testen, wie gut oder schlecht ein System abgesichert ist. All diese Dinge werden üblicherweise von sogenannten Bots, also Computerprogrammen, die, einmal programmiert, automatisch auf die Suche gehen und nach Opfern suchen, ausgeführt.

Was wir also brauchen ist ein Werkzeug, das solche ungebetenen Gäste von den gewünschten anhand ihres Verhaltens oder auch ihrer Kennung unterscheiden und aussperren kann. Solch ein Werkzeug gibt es. Es heißt fail2ban. Sicherheit erhöhen – fail2ban installieren und einrichten weiterlesen

sunrise-or8

FHEM – Ein paar nützliche Features implementieren

FHEM, Hausautomation,

Nachdem FHEM nun installiert ist und es auch ein paar Funksteckdosen gibt, die man schalten kann, soll es in diesem Beitrag darum gehen, ein paar Dinge anzulegen, die das Smart Home nun tatsächlich etwas „smart“ machen werden.

Wie bereits auf meinem Blog unter Smart Home – ein Begriff – viele Themen erwähnt, hat Smart Home bei mir nichts damit zu tun, dass ich aus der Ferne irgendwelche Dinge schalten kann. Das fällt bei mir eher unter „Fernbedienung“. Smart heißt „schlau“ und das bedeutet, das Haus oder die Wohnung weiß selbst, wann etwas ausgelöst werden muss.

Ein Zeitpunkt, an den man relativ viele Aktionen koppeln kann, ist der tägliche Sonnenauf- und -untergang. Dieser ändert sich von Tag zu Tag ein wenig. Mit einer Zeitschaltuhr kann man nur einstellen, dass etwas zu einer bestimmten Uhrzeit – z.B. abends um 20:00 Uhr – schalten soll. Im Hochsommer wäre 20:00 Uhr aber viel zu früh, im Winter wäre 20:00 Uhr viel zu spät. Zum Glück kann unser Raspi selbst ausrechnen, wann täglich für den lokalen Ort der Zeitpunkt für den Sonnenauf- und -untergang ist. Dafür benötigen wir als erstes den geografischen Ort, denn schließlich macht es einen zeitlichen Unterschied, ob der Sonnenaufgang heute in List auf Sylt, am Haldenwanger Eck, in der Gemeinde Neißeaue (bei Görlitz) oder in Isenbruch gemeint ist. FHEM – Ein paar nützliche Features implementieren weiterlesen

Safety

Reverse Proxy mit HTTPS und Authentifizierung einrichten

FHEM, Hausautomation, Linux, Sicherheit, , , , , , ,

Im vorherigen Artikel Sicherheit erhöhen – Raspberry Pi mit SSH-Schlüssel absichern habe ich beschrieben, wie man den Zugang zum Betriebssystem des Raspberry Pi mittels SSH-Key absichern kann. In diesem Artikel soll es nun darum gehen, die FHEM-Webseite nur noch über eine gesicherte Verbindung (HTTPS) und nur noch für ausgewählte Nutzer zugänglich zu machen, damit der Raspberry Pi ins Internet gestellt werden kann, ohne sich Sorgen machen zu müssen, dass ungebetene Gäste Zugriff darauf haben.

Da der Raspberry Pi nicht gerade mit viel Rechenleistung ausgestattet ist, sollten die darauf laufenden Programme möglichst leichtgewichtig sein. Für die Einrichtung eines Reverse Proxy benötigt man einen Webserver. Weit verbreitet in der Linux-Welt ist der Webserver Apache. Allerdings ist er inzwischen auch ein ziemliches Monster geworden, was seinen Ressourcenbedarf angeht. Deshalb empfehle und nutze ich hier als Alternative den nicht so ressourcenhungrigen Webserver Nginx (ausgesprochen Engine X). Reverse Proxy mit HTTPS und Authentifizierung einrichten weiterlesen

Schloss digital

Sicherheit erhöhen – Raspberry Pi mit SSH-Schlüssel absichern

Linux, Sicherheit, , , , ,

Um den unberechtigten Zugriff auf den Raspberry Pi zu verhindern, habe ich in meinem Beitrag Raspberry Pi – Betriebssystem installieren darauf hingewiesen, das allseits bekannte Passwort raspberry des Nutzers pi zu ändern. Für den Heimgebrauch mag das ausreichend sein. Wer allerdings vor hat, seinen Raspberry Pi ins Internet zu stellen, um ihn auch von „außen“ zu erreichen, sollte etwas mehr Aufwand betreiben.

Bisher haben wir uns im lokalen Netzwerk mittels PuTTY über SSH am Raspberry Pi angemeldet, wurden nach Nutzername und Passwort gefragt und waren nach erfolgreicher Passworteingabe „drin“. Würde man das nun ans Internet hängen, könnte man sicherlich drauf warten, bis die ersten Scriptkiddies automatisiert Login-Versuche starten, um das Passwort zu erraten. Früher oder später werden sie erfolgreich sein. Damit der Zeitpunkt für das Erraten gegen Unendlich tendiert, wäre zum Beispiel folgendes Passwort gut:

Leider kann man sich ein solches Passwort erstens schlecht merken und zweitens wird es schwierig, es ohne Tippfehler einzugeben.

Die Lösung ist, sich mittels eines Schlüsselpaares anzumelden (Asymmetrisches Kryptosystem). Dazu wird auf dem Server (also dem Raspberry Pi) nur der öffentliche Schlüssel (Public Key) abgelegt und auf dem Client (das Gerät, auf dem PuTTY oder ähnliches läuft) der dazu passende private Schlüssel (Private Key) hinterlegt. Was ist also zu tun? Sicherheit erhöhen – Raspberry Pi mit SSH-Schlüssel absichern weiterlesen