
Bemerkungen zur Sicherheit
- es ist klar, jeder der Zugang zu Ihrem Port 1215 hat kann alles
in Ihrem Haus machen, was Sie mit Schaltern machen können (und noch
mehr)
- Erlauben Sie niemals, nie, nicht, den Zugang vom Internet zu Ihrem Port 1215!
Schützen Sie ihn mit der Firewall Ihres Routers.
- Denken Sie daran, um ein Eib-Kommando zu senden muß keine
Verbindung aufgebaut werden! Ein Angreifer kann gefälschte
Absenderadressen verwenden und jede Aktion in Ihrer Installation
ausführen wenn Sie nur iptables verwenden und einfach lokale Adressen
erlauben. Wenn Sie mit iptables filtern müssen Sie auf das Interface
filtern! Wenn Sie das nicht tun und ein Kommando haben um Ihre Haustüre
zu öffnen, schieben Sie es nicht auf mich!
- Überlegen Sie gut, wer Ihre eibdef.xml beschreiben kann. Jeder
der das darf kann, sagen wir, komische Dinge mit Ihrer Eib-Installation
machen.
- Seien Sie vorsichtig mit Ihren Logs! Allein die Tatsache, wann
Fenster und Türen geöffnet werden (oder auch nicht, für einen längeren
Zeitraum) sind höchst wertvoll für Einbrecher!
- Wenn Sie einen Internet-Zugang für ihre Installation wünschen, machen Sie es mit SSL-Tunnels.
- Zeigen Sie niemals Echtzeitdaten auf einer öffentlich
zugänglichen Webseite! Die Tatsache daß Ihre Heizung gerade auf
Bereitschaft läuft ist ebenfalls höchst wertvoll!
Somecommand
: Einige Features (Trigger, Reminder) erlauben die Ausführung eines beliebigen Programms.
Normalerweise tut dies was Sie wollen, es könnte aber z.B. auch eine Remote-(SSH-)Verbindung zu einem Server
irgendwo auf der Welt herstellen sofern telnet oder ssh ausführbar sind, über
die dieser beliebige Kommandos auf Ihrem Server ausführen kann. Jemand,
der Trigger setzen oder Ihre eibdef.xml beschreiben kann diese
Möglichkeit ausnutzen. Das ist aber nur dann wirklich schlimm,
wenn rleibd auf Ihrem Server als root läuft. Daher ist es wichtig, dass
Sie einen Benutzer einrichten, der nur die Logfiles schreiben kann und
die Configfiles lediglich lesen kann.
Starten Sie niemals rleibd mit Rootrechten, insbesondere wenn Ihre
Maschine irgendwie vom Internet aus erreichbar ist!