Ankündigung

Einklappen
Keine Ankündigung bisher.

MySQL-Server (remote-Instanz)

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
    #1

    MySQL-Server (remote-Instanz)

    Hallo,

    wo genau kann ich auf den MySL-Connection-String zugreifen? Ich würde gerne einen Remote-MySQL-Server als Instanz hinterlegen, sowie das entsprechende root-Passwort setzen. Ich fände dies als Option in der edomi.ini sehr sinnvoll.

    Edit:

    Noch eine Nachfrage: Aufgrund der Edomi-Installationsroutine gehe ich davon aus, das MySQL-Zugriffe immer mit root ausgeführt werden und dieser kein Passwort besitzt. Wenn das so ist, dann möchte ich auch aus Gründen der Systemsicherheit gerne ein eigenes Passwort setzen, am besten einen dedizierten Edomi-Datenbank-Nutzer einrichten.

    Gruss,

    Stefan
    Zuletzt geändert von pfischi; 18.09.2016, 14:16.
    Sonos
    Stichworte: -
    #2
    Das ist nicht vorgesehen und daher nicht konfigurierbar, da der Quelltext diesbezüglich nicht offen liegt. Vielleicht später mal
    EDOMI - Intelligente Steuerung und Visualisierung KNX-basierter Elektro-Installationen (http://www.edomi.de)

    Kommentar

      #3
      Davon abgesehen das ich eine solche MySQL-Konfiguration für fahrlässig halte, habe ich folgenden Workaround für mich gefunden:

      1.socat auf edomi-Host installieren

      Code:
      yum install epel-release
yum install socat
      2. Weiterleitung des MySQL-Ports einrichten; dazu das Startup-Edomi-Skript anpassen ("/usr/local/edomi/main/start.sh"):

      2a: socat-Befehl einfügen
      Code:
      socat UNIX-LISTEN:/var/lib/mysql/mysql.sock,fork,\
reuseaddr,unlink-early,user=mysql,group=mysql,mode=777 \
TCP:<MY_REMOTE_MYSQL_SERVER_IP>:3306 &
      Den Platzhalter <MY_REMOTE_MYSQL_SERVER_IP> ersetzen mit der Remote-Mysql-Server-Instanz.

      2b: Mysql-Service start auskommentieren:
      Code:
      # service mysqld start
      Auf der Remoteinstanz von MySql nun noch einen Nutzer root erstellen, der von einer speziellen (hier Edomi) kommenden IP KEIN Passwort benötigt.

      Code:
      CREATE USER 'root'@'EDOMI_IP_HERE' IDENTIFIED BY '';
GRANT ALL ON *.* TO 'root'@'EDOMI_IP_HERE';
FLUSH PRIVILIGES;
      @gaert: Hier muss meiner Ansicht nach DRINGEND nachgebessert werden. Edomi braucht keinen MySQL-root User zur Laufzeit. Bei der Installation sollte dem root-Nutzer ein selbsterstelltes Password vergeben werden, der dann die entsprechenden Datenbanken und einen dedizierten Nutzer in der DB anlegt. Dieser bekommt nur die Rechte, die er wirklich benötigt.

      Gruss,

      Stefan
      Sonos

      Kommentar

        #4
        Warum fahrlässig?! EDOMI läuft auf einem Server in Deinem Haus und in Deinem Netzwerk. Fahrlässig wäre es, wenn Du Ports ins Internet öffnest etc...

        Was nutzt ein mySQL-Passwort, wenn die Kiste physisch zugänglich ist? Die DB-Dateien liegen so oder so auf der Platte...
        EDOMI - Intelligente Steuerung und Visualisierung KNX-basierter Elektro-Installationen (http://www.edomi.de)

        Kommentar

          #5
          Zitat von gaert Beitrag anzeigen
          Warum fahrlässig?! EDOMI läuft auf einem Server in Deinem Haus und in Deinem Netzwerk. Fahrlässig wäre es, wenn Du Ports ins Internet öffnest etc...

          Was nutzt ein mySQL-Passwort, wenn die Kiste physisch zugänglich ist? Die DB-Dateien liegen so oder so auf der Platte...
          Wie kannst du sicher gehen, das Edomi nur in Hausinstallation genutzt wird und nicht in Firmenumfeld mit größeren Netzwerken? Was macht jemand, der einem Gast sein WLAN-Password gegeben hat und Teil des Hausnetzwerkes ist? Was macht derjenige, der sich bereits Schadsoftware auf seinen Rechner geladen hat? Mit einem Meterpreter aus dem Metasploit-Framework mache ich dir ratzfatz einen Pivoting-Point in dem Heimnetzwerk auf, der Zugriff auf alle Rechner im Netz hat. Ich kann hier noch mehr Szenarien aufzählen. Auf eine "Pseudosicherheit" zu setzen, die nur darauf basiert Ports nicht ins "Internet" zu leiten, ist zu kurz gedacht.

          Das gleiche betrifft auch die noch nicht vorhandene HTTPS-Verschlüsselung (zumindestens mein letzter Stand). Meine Hausautomation ist eine der sensibelsten Infrastrukturen überhaupt, da kann es keine Kompromisse bezüglich der IT-Sicherheit geben.

          Alle hier aufgezählten Punkte sind leicht umzusetzen und sollten m.E. Priorität vor neuen Features haben.

          Gruss,

          Stefan
          Zuletzt geändert von pfischi; 18.09.2016, 17:33.
          Sonos

          Kommentar

            #6
            Zitat von pfischi Beitrag anzeigen

            Wie kannst du sicher gehen, das Edomi nur in Hausinstallation genutzt wird und nicht in Firmenumfeld mit größeren Netzwerken?
            Genau für den Bereich Home-Automation ist Edomi doch aber gemacht.
            Wenn ich's dann in sensiblen Umgebungen einsetze muß ich selber dafür sorgen, daß es abgeschottet wird.
            WLAN-Gast-Zugänge so zu gestalten, daß Zugriff auf's Firmennetz möglich ist, ist übrigens mindestens genauso fahrlässig...
            • Likes 1

            Kommentar

              #7
              Aber kann ich es verhindern, dass Nutzer ihr System falsch konfigurieren? Nein. Deshalb kann ich aber zumindestens dafür sorgen, dass Edomi möglichst wenig Angriffsfläche bietet. Und die vorgeschlagenen Anpassungen sind einfach zu implementieren.
              Sonos
              • Likes 1

              Kommentar

                #8
                SSL kannst Du relativ einfach selbst aufsetzen (Apache). Bei mySQL bleibt's dabei: Ein Passwort nützt Dir rein garnix, allerdings solltest Du den Remote-Port von mySQL schließen für Deinen Anspruch.

                EDOMI ist und bleibt "ab Werk" vollkommen "unsicher", denn dies ist konzeptionell so vorgesehen. Was Du mit Deiner Installation anstellst bleibt Dir überlassen.
                EDOMI - Intelligente Steuerung und Visualisierung KNX-basierter Elektro-Installationen (http://www.edomi.de)

                Kommentar

                  #9
                  Zitat von gaert Beitrag anzeigen
                  SSL kannst Du relativ einfach selbst aufsetzen (Apache). Bei mySQL bleibt's dabei: Ein Passwort nützt Dir rein garnix, allerdings solltest Du den Remote-Port von mySQL schließen für Deinen Anspruch.

                  EDOMI ist und bleibt "ab Werk" vollkommen "unsicher", denn dies ist konzeptionell so vorgesehen. Was Du mit Deiner Installation anstellst bleibt Dir überlassen.
                  Unsicherheit als als Softwarekonzept? Sorry, aber das für mich in keinster Weise nachvollziehbar und akzeptabel, zumal die Umsetzung ein leichtes ist. Da du leider den Hauptcode Closed-Source lässt, kann ich eben leider nicht alles mit meinem System machen.

                  Ich rate dir hier dringend zum Umdenken. Aber durch deinen Post bezweifle ich das (leider).

                  Von mir aus kann der Thread geschlossen werden. Ich werde eine nächte Woche das Docker-Image dahingehend anpassen, das zumindestens die größten Löcher in MySQL dicht sind (eingeschränkte Rechte nur für die Edomi-DBs). Dies kann dann jeder nutzen, oder auch nicht.

                  Danke und mfG,

                  Stefan
                  Sonos
                  • Likes 1

                  Kommentar

                    #10
                    Du glaubst also, dass ein mySQL-Passwort zu mehr Sicherheit führt (im EDOMI-Kontext)? Begründung bitte

                    Was soll SSL bringen? EDOMI wird im "Heimnetz" konfiguriert und bedient - oder meinetwegen per VPN. Bei mir zuhause sitzt kein man-in-the-middle...

                    Passwörter, SSL und andere Maßnahmen bringen keinerlei Mehrwert in Sachen Sicherheit ins Spiel. Viel wichtiger ist es, den Server physisch vor Zugriffen zu schützen und natürlich netzwerkseitig entsprechende Maßnahmen zu treffen (Gäste-WLAN, etc.). Aber jedem seine Paranoia
                    EDOMI - Intelligente Steuerung und Visualisierung KNX-basierter Elektro-Installationen (http://www.edomi.de)

                    Kommentar

                      #11
                      Ich habe es oben beispielhaft aufgezählt. Du magst deine Edomi-Installation im Griff haben. Ob das alle Nutzer auch hinbekommen, mag ich zu bezweifeln. Alle Vorschläge die ich gemacht habe sind mit sehr kleinem Aufwand integriebar und haben keinen negativen Einfluss auf Edomi zur Laufzeit.

                      Und ich bleibe dabei: Bei der Sicherheit von Heimautomation gibt es keine Kompromisse. Lieber paranoid als später der große Katzenjammer.
                      Sonos
                      • Likes 1

                      Kommentar

                        #12
                        Ich verstehe das Problem nicht .
                        EDOMI ist ein (kostenloses) Angebot, dass gaert entwickelt und veröffentlicht hat. Er pflegt es, arbeitet nach Möglichkeit diverse User-Wünsche kurzfristig ein und leistet Support hier im Forum .

                        Auch auf die Gefahr hin, jetzt einen Shitstorm loszutreten:
                        Niemand ist gezwungen irgendwelche (unsichere ?) Software einzusetzen. Da gibt es dann doch genug Alternativen (bis hin zur Eigenentwicklung ;-).


                        • Likes 1

                        Kommentar

                          #13
                          Da muss ich mars zustimmen. Niemand wird gezwungen EDOMI einzusetzen.
                          Außerdem wurde von gaert klar kommuniziert für was sein Produkt gedacht ist und in welchem "Auslieferungszustand" - mit allen Risiken - es angeboten wird.

                          Wenn ich einen Pkw erwerbe und diesen als Baustellenfahrzeug nutze, müssen mir die eventuellen Folgen bzw. Unzulänglichkeiten klar sein.
                          Den Hersteller aber zwingen zu wollen jetzt nur noch Baustellenfahrzeuge zu bauen, weil diese insgesamt viel praktikabler für meine Anwendung sind...
                          Gruß -mfd-
                          KNX-UF-IconSet since 2011

                          Kommentar

                            #14
                            • Ja, Christian hat seinen Standpunkt dargelegt …
                            • Ja, Stefan auch …
                            • Ja, Auffälligkeiten, Wünsche, Beschwerden, usw. sind erlaubt … Vieles wurde deswegen schon umgesetzt das Edomi gut getan hat und die Userzufriedenheit gehoben hat
                            • Und ja, der Ton macht die Musik … beim Querlesen ist das das Einzige was mir persönlich negativ aufgefallen ist - ist aber meine persönliche Meinung.
                            Danke und LG, Dariusz
                            GIRA | ENERTEX | MDT | MEANWELL | 24VDC LED | iBEMI | EDOMI | ETS5 | DS214+ | KNX/RS232-GW-ROTEL
                            • Likes 1

                            Kommentar

                              #15
                              Zitat von pfischi Beitrag anzeigen
                              Mit einem Meterpreter aus dem Metasploit-Framework mache ich dir ratzfatz einen Pivoting-Point in dem Heimnetzwerk auf, der Zugriff auf alle Rechner im Netz hat.
                              Bullshit Bingo!!! Und das mit einem Satz

                              Ich muss sagen, dass ich schon etwas ueberrascht war als mir aufgefallen ist, dass ein passwortloser remote MySQL-Zugang als root moeglich ist. Und diese Tatsache war mir so ohne weiteres nicht bewusst - steht vllt auch in der Hilfe, kann ich grad nicht sagen

                              Ich habe es immer so verstanden, dass Edomi eine Applikation ist und keine Appliance. Anders: wenn der Betreiber keine Ahnung hat wie das darunterliegende OS funktioniert, dann sollte er das entweder lernen oder so hinnehmen wie es ist. Es ist ja nun ein leichtes alle remote-Zugangsmoeglichkeiten ueber die vorhandene Firewall zu sperren. Dem Webserver HTTPS einzuhaemmern ist nun wahrlich auch keine Raketentechnik. Aber ich finde ebenfalls, dass das nicht die Aufgabe von Edomi sein sollte, sich darum zu kuemmern.
                              So oder so halte ich das ebenfalls fuer mindestens grob fahrlaessig seine Haussteuerung "einfach so" ohne irgendeinen Schutz ins Internet zu stellen.

                              Kommentar

                              Vorherige 1 2 template Weiter
                              Lädt...
                              X

                              Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                              Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                              Ich stimme zu