Bemerkungen zur Sicherheit

• es ist klar, je­der der Zugang zu Ihrem Port 1215 hat kann al­les in Ihrem Haus ma­chen, was Sie mit Schal­tern ma­chen kön­nen (und noch mehr)
• Er­lau­ben Sie nie­mals, nie, nicht, den Zugang vom In­ter­net zu Ihrem Port 1215! Schüt­zen Sie ihn mit der Fire­wall Ihres Rou­ters.
• Den­ken Sie da­r­an, um ein Eib-Kom­man­do zu sen­den muß kei­ne Ver­bin­dung auf­ge­baut wer­den! Ein An­grei­fer kann ge­fälsch­te Ab­sen­der­adres­sen ver­wen­den und je­de Ak­tion in Ihrer In­stal­la­tion aus­füh­ren wenn Sie nur iptables ver­wen­den und ein­fach lo­ka­le Adres­sen er­lau­ben. Wenn Sie mit iptables fil­tern müs­sen Sie auf das In­ter­face fil­tern! Wenn Sie das nicht tun und ein Kom­man­do ha­ben um Ih­re Haus­tü­re zu öff­nen, schie­ben Sie es nicht auf mich!
• Über­le­gen Sie gut, wer Ih­re eibdef.xml be­schrei­ben kann. Jeder der das darf kann, sa­gen wir, ko­mi­sche Din­ge mit Ihrer Eib-In­stal­la­tion ma­chen.
• Sei­en Sie vor­sich­tig mit Ihren Logs! Allein die Tat­sa­che, wann Fens­ter und Tü­ren ge­öff­net wer­den (oder auch nicht, für ei­nen län­ge­ren Zeit­raum) sind höchst wert­voll für Ein­bre­cher!
• Wenn Sie ei­nen In­ter­net-Zugang für ih­re In­stal­la­tion wün­schen, ma­chen Sie es mit SSL-Tun­nels.
• Zeigen Sie nie­mals Echt­zeit­da­ten auf ei­ner öf­fent­lich zu­gäng­li­chen Web­sei­te! Die Tat­sa­che daß Ih­re Hei­zung ge­ra­de auf Be­reit­schaft läuft ist eben­falls höchst wert­voll!
• Somecommand: Einige Fea­tures (Trig­ger, Re­minder) er­lau­ben die Aus­füh­rung ei­nes be­lie­bi­gen Pro­gramms. Nor­ma­ler­wei­se tut dies was Sie wol­len, es könn­te aber z.B. auch ei­ne Remote-(SSH-)Ver­bin­dung zu ei­nem Ser­ver ir­gend­wo auf der Welt her­stel­len so­fern telnet oder ssh aus­führ­bar sind, über die die­ser be­lie­bi­ge Kom­man­dos auf Ihrem Ser­ver aus­füh­ren kann. Jemand, der Trig­ger set­zen oder Ih­re eibdef.xml be­schrei­ben kann die­se Mög­lich­keit aus­nut­zen. Das ist aber nur dann wirk­lich schlimm, wenn rleibd auf Ihrem Ser­ver als root läuft. Daher ist es wich­tig, dass Sie ei­nen Be­nut­zer ein­rich­ten, der nur die Log­files schrei­ben kann und die Con­fig­fi­les le­dig­lich le­sen kann. Star­ten Sie nie­mals rleibd mit Root­rech­ten, ins­be­son­de­re wenn Ih­re Ma­schi­ne ir­gend­wie vom In­ter­net aus er­reich­bar ist!