Debmatic Firewall

Debian/Ubuntu basierte CCU

Moderator: Co-Administratoren

Antworten
Scritch
Beiträge: 12
Registriert: 25.11.2022, 20:55
System: CCU und Access Point
Hat sich bedankt: 4 Mal
Danksagung erhalten: 2 Mal

Debmatic Firewall

Beitrag von Scritch » 13.12.2022, 21:58

Ich habe in den letzten Tagen meine HMIPW Installation, dazu debmatic inklusive Homeassistant Integration, in Betrieb genommen.
Dabei fiel mir die passwortlose Anbindung von Homematic in Homeassistant auf:

Code: Alles auswählen

homematic:
  interfaces:
    ip:
      host: 127.0.0.1
      port: 2010


Einfach IP und Port eingeben und ich kann in HA meine gesamte Hausautomatisierung steuern.
Aus Sicht der Zugriffskontrolle kann also jedes Gerät, das Zugang zu meinem Heimnetz oder einem der angebundenen VPNs hat, ohne Authentifizierung meine Hauselektrik übernehmen.
Das macht mich arg nervös.

Gibt es die Möglichkeit, die diversen debmatic Services lediglich an das loopback Interface zu binden? Ich habe ein wenig in den Konfig Files gestöbert, konnte aber keine passende Option ausmachen.

Alternativ müsste ich eine extra Firewall aufsetzen, Gibt es hierzu vorgefertigte IP Tables Konfigurationen?
Letzter Ausweg wäre dann noch eine VM (Proxmox). Diesen Overhead würde ich (noch) gern vermeiden.
Nach oben
Scritch
Beiträge: 12
Registriert: 25.11.2022, 20:55
System: CCU und Access Point
Hat sich bedankt: 4 Mal
Danksagung erhalten: 2 Mal

Re: Debmatic Firewall

Beitrag von Scritch » 14.12.2022, 23:13

Die IPtables Frage ist hier im Forum beantwortet:

viewtopic.php?p=472997#p472997 / download/file.php?id=58234
bzw:
https://github.com/jens-maus/RaspberryM ... rewall.tcl

Die Frage nach dem Loopback Interface habe ich auch versucht mir selbst zu beantworten:

Es laufen die zwei Standard Linux Tools, welche man via Config auf das Loopback-Interface umstellen kann
rpcbind -> /usr/lib/systemd/system/rpcbind.socket
lighttpd -> /etc/debmatic/lighttpd/lighttpd.conf und /etc/lighttpd/conf-available/20-debmatic.conf

Hier ist das "Problem" also mittels Standardmitteln lösbar.

Weiterhin laufen drei homematic-spezifische Prozesse, welche nach meinem Verständnis rein intern kommunzieren sollen, da für diese extra lighty als externer Proxy läuft.
java HMIPServer -> /etc/HMServer.conf
ReGaHss -> /etc/rega.conf
rfd -> /etc/config/rfd.conf
Via lsof sehe ich, dass die Ports dieser drei Prozesse nicht nur auf dem Loopback-Interface offen sind. Warum das so ist, kann ich mir nicht erklären und finde es zumindest verdächtig. Passend dazu, dass im oben stehenden pdf für die Ports dieser Prozesse explizite Firewalls konfiguriert sind.

Es erscheint mir also derzeit so, dass für diese drei Prozesse jeweils ein nicht via prozessspezifischer Config files schließbares Loch exisitiert, und man zwingend IpTables aktivieren muss, um dieses zu stopfen.

Wenn jemand meine Beobachtungen bewerten und ggf korrigieren bzw bestätigen könnte, wäre das toll.
Nach oben
Antworten

Zurück zu „debmatic“