Hallo MikeHT,

Ich habe zwar noch kein Haus mit OpenHAB 3 im Betrieb (nur einen kleinen Testaufbau. Hausbau ist gerade in Planung), aber hier noch ein paar Tipps/Ideen:

- OpenHAB 3 sollte nur im eigenen Netzwerk erreichbar sein und nicht von außerhalb. Will man doch von außerhalb darauf zugreifen, dann kann man sich per VPN mit dem eigenen Heimnetzwerk verbinden.
- Netzwerk trennen von "Heimnetzwerk" und "SmartHomeNetzwerk", z.B. über VLAN. Per Firewall konfigurieren dass z.B. nur dein PC auf den Server zugreifen kann (also auf das Backend, nicht die Website). Ist zwar nicht zu 100% sicher, aber dennoch ein Hindernis.
- Passwort sollte minimum 12 Zeichen haben (<- Passwortmanager verwenden)
- SSH-Login nur per SSH-Key. SSH-Zugriff per Passwort deaktivieren

Meine Meinung ist: Hat es eine Person auf dich speziell abgesehen, dann hat man meiner Meinung nach eher schlechte Karten. Deshalb das Netzwerk von außen so gut es geht absichern (d.h. für mich kein OpenHAB3 von außen erreichbar). Ist dein Netzwerk von außen abgesichert, dann bist du eigentlich auch nicht anfällig für irgendwelche "Groß-/Massenangriffe" (es gibt ja nichts was von außen erreichbar ist).

Hallo lumiHome​

Danke für die Inputs! Ja, bin einverstanden!
- SSH Key idealerweise ED25519 und login nur per SSH key (kein Passwort login)
- VPN, am besten selbst einen aufsetzen. Wenn nicht möglich weil via LTE verbunden und nur private Adresse, dann einen virtuellen server im internet meeting und VPN mit Wireguard aufsetzen
- PW min 12 Zeichen, aber mit Sonderzeichen, gross und klein Buchstaben

Schon klar, wenn jemand will, dann findet er oder sie vermutlich einen Weg. Wenn mans aber schwierig macht, dann sucht sich er/sie eventuell einen Anderen welcher es eben nicht schwierig macht... Ja nach Ziel des Angreifers

Dass der Host auf dem openHAB läuft nicht ins Internet gehört sollte ja hinlänglich bekannt sein.
Weitere Ideen um den Rechner abzusichern:

• Einen neuen Host key erzeugen (wird in /etc/ssh/ abgelegt und in der sshd_conf eingetragen) und den Fingerprint gleich abspeichern. Bei der ersten Kontaktaufnahme kann man so den Fingerprint automatisch abgleichen lassen und muss nicht darauf vertrauen, dass die initiale Kontaktaufnahme schon korrumpiert wurde. Das geht naturgemäß am besten von einer lokalen Konsole aus...
• Zugriff auf die Karaf Konsole auf Private/Public Key umstellen.
• Den Karaf User openhab löschen (bzw. den Eintrag mit Passwort entfernen und nur einen Eintrag mit hinterlegtem Public Key verwenden - Achtung, Zugriff mit openhab-cli console funktioniert dann nicht mehr, nur noch ssh ... -p8101, weil dort der Key mit übergeben werden kann)
• Dafür kann man nun aber sorglos den Zugriff auch von außen erlauben (listen-Adress 0.0.0.0 - openhabian richtet das leider automatisch ein, obwohl es aus gutem Grund gewöhnlich abgeschaltet ist)