LotharGehlhaar - Teichbauforum

Hallo Paul,


ja, und? Denke Dir eine beliebige Zahl aus und sprich Deinen Raspi an! Wenn kein Programm, keine Dienst, installiert ist, welcher auf diesem Port lauscht, wird diese Ansprache von außen langweilig.
Wichtig ist, dass

• nur die von uns gewünschten Pakete installiert werden und
• diese Pakete von uns jeweils so sicher gehalten werden, dass sie keine bekannten Angriffsflächen bieten.

Dieses Raspbian-Linux verfolgt eine Philosophie, die sieht ungefähr so aus: "Alles, was Du brauchst, musst Du Dir installieren und konfigurieren. Was Du nicht installierst, funktioniert nicht."

Bei Windows funktioniert es anders herum: "Du bekommst ein leistungsfähiges Betriebssystem mit vielen Diensten. (Darunter viele Dienste, von denen der User gar nicht weiß, dass es sie gibt. Welcher User bemerkt schon, wenn plötzlich ein Trojaner zusätzlich in der Task-Liste auftaucht?) Und damit es sicher wird, solltest Du die vielen Dienste absichern." Ein Einzelner User ist damit schwer gefordert, so entsteht eine Marktlücke für Kaspersky usw.


Gehen wir systematisch darauf ein:
a) Abschottung des Raspis gegen Zugriffe von außen
Ich habe die Konfiguration so vorgesehen, dass nur SSH und der Webserver auf Anfragen von außen reagieren. Später werden wir für Alarmierungen des Nutzers noch einen Mailserver brauchen, der aber nur auf Anfragen vom Raspi reagieren soll.
(Wer Lust hat, kann noch einen VNC-Server oder Anderes installieren und wäre für deren Absicherung selbst zuständig.)
Alle meine Vorschläge, den Webserver zu konfigurieren erlauben dem User www-data nicht, zusätzliche Software im Webserver zu installieren. Auch die noch kommenden sudo-Modifikationen werden ihm das nicht erlauben.

Solange Du ein sehr sicheres Kennwort für pi und root (auch in mysql) gewählt hast, wird selbst ein Einbrecher in Dein WLAN Schwieriggkeiten haben, den Raspi selbst anzugreifen.
(Gegenwärtig könnte er allerdings noch alle Deine Sensoren abmelden und die Messwerte löschen.)
Ein Angreifer von außerhalb hat noch mehr Probleme: Er müsste Deine gegenwärtige IP kennen und er müsste Deinen Router überwinden, sofern Du ihn für den Fernzugriff auf den Raspi überhaupt konfiguriert hast.

Zugriffe von außen werden also schon jetzt recht zuverlässig abgeblockt.


b) Abschottung des Raspis gegen Netzwerkverkehr, der von innen kommt

Dann ist ohnehin alles zu spät. Diese Software kann jederzeit über die Ports kommunizieren, die Du zum Beispiel for apt-get (Softwareinstallationen) und für svn update offen lassen musst.
Außerdem - Schneller als Du schauen kannst, wird der Angreifer, der einmal Zugriff auf Deinen Raspi erlangt hat, folgenden Befehl absetzen:

oder konsequenter:

Wäre es ein fleißiger Angreifer, würde er die von Dir verfassten Regeln von iptables in seinem Sinne verändern. Du hast eine schöne Seite verlinkt, die eine trügerische Sicherheit vermittelt. Gegen Traffic vom Raspi nach außen ist die Sache leider nicht wirksam.

Es ist ein Unding, auf einem Rechner selber versuchen zu wollen, zu verhindern, dass Trojaner nach Hause telefonieren.
Das könnte allenfalls auf einem Router wirksam verhindert werden. (Am einfachsten: Kindersicherung missbrauchen und Internetzugriff vom Raspi nur manuell erlauben, wenn Software aktualisiert werden soll.)



Man?
Berechtigte können alles sowohl installieren, aber auch deinstallieren!!!


Pfiffikus,
der bisher darauf geachtet hat, dass der user www-data, der seine Steuerung verwaltet, nichts Schlimmes tun darf

Hallo Pfiffikus,



Du hast natürlich recht!
Deine Erläuterungen und der Vergleich Linux und Windows sind prima. Alles was ich in Linux an Diensten Installiere, will ich ja auch nutzen sonst brauch ich den Dienst nicht Installieren.

Wo kein Dienst da kein Port und auch kein Schlupfloch richtig?

Also braucht man die iptables nicht!

Wie sieht es aus mit dem Virenscanner ClamAV ?
Den hatte ich nach der Anleitung von JP.N installiert lief auch im Anfang nach Einstellung in der crontab -e ohne Meldungen (wobei ich mich frage was er macht wenn er was findet).
Wenn er jetzt an geht sehe ich nur die CPU-Auslastung geht nach kurzer Zeit auf 100% Pi zeigt keine Reaktion. Dann geht nur noch Stecker ziehen neu hochfahren und crontab -e löschen.

Kann der Webserver auch Daten die nicht in /var/www vorhanden sind wie z.B aus einem USB-Stick darstellen?


Danke ich habe wohl wieder genug gefragt

Hallo Paul,


genau so ist es.


So sieht es ein Fachman.



Keine Ahnung, habe ich nie genutzt, aber eventuell hilft Huschi hier auch?



Ja. Lege einen symbolischen Link zu dem Stick (in Windows wäre das ein Verweis) in /var/www und sorge dafür, dass der Stick Leserechte auch für www-data erhält.

Ausführlicher und korrekter wäre die Angabe eines DocumentRoot-Parameters in der Konfigurationsdatei.
Steht alles hier:
http://httpd.apache.org/docs/current/


Pfiffikus,
der nicht weiß, wie dauerhaft der Stick angeschlossen bleiben soll

Hallo Pfiffikus,
besten Dank



Stick kann doch dauerhaft angeschlossen sein.
Wollte das für ein andere Anwendung nutzen um Schreibzugriffe auf SSD zu sparen.

USB-Stick wollte ich nach der Anleitung installieren http://jankarres.de/2013/01/raspberry-pi-usb-stick-und-usb-festplatte-einbinden/.

Das ganze ist für meine Pi. Wetterstation die parallel zur Teichsteueung läuft, bin aber noch am fummeln.

Hi,

Der wie dir hier nicht wirklich viel weiter helfen. Ich selber arbeite in der Computer Forensik und Clan AV hilft gut gegen windows Viren ( wie daher gerne eingesetzt um file shares oder emails zu überwachen).

Für die wirklich bösen Sachen braucht man andere tools (ggf. Maldet etc)

Klar kann man den raspberry sicher machen aber da muss man sehr viele Dinge beachten:

- wie ist der physikalisch gesichert (Garten, Haus, etc)
- wird der auch geplagt ( logfiles auswerten, monitoring)
- wurde er gehärtet.

Ich selber habe mir zum Teich ein kabel gelegt um dort die Sensoren zu verlöten. Der raspi hängt im Keller neben der Solaranlage und wird komplett überwacht ( habe aber auch einen esx Server) wo die ganzen vmwares drauf laufen.

Aktuell Messe ich nur die Temperatur. Später kommt noch mehr dazu. Alarmierung dann über nagios direkt gepushed auf das Smartphone.

Gruß
Daniel

Kleines Feedback, habe nun mal einen DS18B20 Sensor mit 3 m Länge wasserdicht bei Amazon bestellt, und der ist auch nach 2,5 Wochen in Deutschland angekommen. Hatte kurz ein Problem mit dem Sensor, waren aber Kontaktschwierigkeiten. Nachdem ich die vorübergehende Lösung nicht zum Laufen brachte, konnte hier ein festes Verlöten Erfolg bringen.
Die Testwerte hier sind identisch mit dem Sensor den wir schon getestet haben.

Hier wäre nun der Jörg vom Raspiprojekt gefragt, diese Sensoren mit 3 m Länge in seinen Shop aufzunehmen. Da macht die ganze Bastelei mit Silikon Wärmeleitpaste etc keinen Sinn. So ist es eine saubere Sache, und schnell gewechselt, falls mal ein Sensor ausfällt.

_________________
Gruß Robert

www.koifutterhandel.de

ACK

Die macht Sinn wenn man der Firewall was zum Filtern gibt. Aber soo..

Anzeige:

_________________
Wenn du einen Monat lang ein werbefreies Forum willst, klicke hier und überweise mir 100 Taler!
Wenn du mich im Koi-Schnack etwas fragen möchtest, klicke hier!

So, habe jetzt einige Stunden lang den Ultraschallsensor hier auf dem Tisch liegen, freie Sicht zur Decke. Dann habe ich ihn einfach einige Stunden messen lassen. Heraus kam das hier:
















Auffallend ist, dass sich die Werte zumeist zwischen -12 und -4mm befinden. Einzelne Ausreißer gibt es jeweils nach beiden Seiten, vor allem nach oben (zu kurze Strecke gemessen).

Die Abweichungen kann man kaum dem billigen Ultraschallsensor anlasten. Denn Linux ist ein Betriebssystem, welches Multitasking erlaubt. Und wenn gerade irgendein anderer Prozess Prozessorleistung beansprucht, kann unser Skript nicht so oft lauschen, ob das Echo schon da ist.

Gegen 8:46 war ich hier am Schreibtisch, offensichtlich kam ich versehentlich an den Sensor, der wohl der Decke einige mm näher gekommen ist.


So einfach lassen sich die Werte also nicht verwenden, ich werde den Raspi bitten müssen, mehrmals zu messen und Ausreißer auszusortieren.


Pfiffikus,
der trotzdem schon sehr zufrieden mit dem Ergebnis ist

Geschafft. Ich habe dem Raspi jetzt so eingestellt, dass anlässlich einer Messung viele, zum Beispiel 20 Impulse gegeben und ausgemessen werden. Die Ergebnisse häufen sich ja, wie zu sehen, in einem Bereich von weniger als 3mm. Es werden nun nur die Werte verwendet, die sich an einer Stelle häufen und Ausreißer nach oben oder unten gar nicht mehr berücksichtigt.

Oh nein! Sollte der Wert 0 als Ausreißer gemessen werden - ein Indiz für einen defekten Sensor, dann wird natürlich Alarm geschlagen. Der Nutzer, der seinen Filter mit dem Raspi steuert, kann nun zielgerichtet reagieren. In meinem Falle kann ich die Filtersteuerung auf einen noch funktionierenden Sensor umstellen - ich werde ja genügend Sensoren zur Auswahl verbauen, die sich auch gegenseitig überwachen können. Sollte das immer noch nicht helfen, wird die Filtersteuerung auf zeitgesteuerten Intervallbetrieb umstellbar sein. Natürlich von überall her.
(Außer aus Horlachen, da hat mein Handy keinen Empfang.)

Nachteil: Der Aufruf der Pegelseite bzw. der Pegeleinstellungen dauert sehr lange - es werden ja zuerst aktuelle Messungen erfasst. Da ist schon mal eine Geduld von einigen Sekunden erforderlich. Die opfert man aber gern, wenn dadurch die Zuverlässigkeit der Billigsensoren gesteigert wird.

Also Freunde, ein Update lohnt sich wieder, die Resultate habe ich in den Stamm eingemischt.


Pfiffikus,
der nun an der Ansteuerung der Filterspülung weiter arbeiten wird

Die Ultraschallsensoren haben eine kleine Treibersoftware nötig, die in Python geschrieben ist. Mit Jörgs Hilfe habe ich daraus eine Version gebastelt, die bei einem defekten Sensor oder beschädigter Verdrahtung nicht hängen bleibt, wie die bisher aus dem Netz bekannte Version. Weiterhin habe ich diesen Treiber so umgeschrieben, dass man die GPIO-Nummern nicht mehr ins Skript eintragen muss. Vielmehr kann man diese Nummern in meiner Version als Parameter an das Skript übergeben. Das ist wesentlich komfortabler und weniger fehleranfällig.

Dadurch wird es für den Teichfreund einfacher. Er muss nichts in diesem Skript verändern. Es muss nur jeder Sensor in der Teichsteuerungssoftware angemeldet werden. Bei dieser Gelegenheit gibt man die GPIO-Nummern ein, fertig.
Die Steuerungssoftware übergibt die GPIO-Nummern ans Skript und es kann ein- und dasselbe Skript für alle angeschlossenen Ultraschallsensoren verwendet werden.


Ab Revision 100 liegt eine einigermaßen brauchbare Treiberdatei für die Ultraschallsensoren bereit.
/var/www/steuerung/quellen/sensoren/echolot.py

Um diese Treibersoftware nutzen zu können, sind nur wenige Handgriffe nötig:
Erstmal muss man dem Raspi noch sagen, dass man dieses Pythonskript auch ausführen kann. Dazu gibt pi diesen Befehl:


Leider braucht das Pythonskript für die Ultraschallmessung root-Rechte. Ein erster Test, ob das Skript richtig funktioniert und ob der Sensor richtig angeschlossen wurde, kann manuell erfolgen. Angenommen, das Trigger-Signal ist an GPIO 23 angeschlossen, Echo an GPIO 17, so kommt pi mit diesem Befehl nicht weit:

Erst wenn man mit sudo um root-Rechte bittet, wird tatsächlich gemessen:

(Das ist aktuell die Entfernung der Zimmerdecke hier.)

Sollte dieser Test nicht erfolgreich verlaufen, könnte es daran liegen, dass die Zeilenumbrüche der Skriptdatei im Windwos-Stil gesetzt sind. Einfach mit Linux noch einmal speichern, dann wird im Unix-Stil gespeichert. Die Suche nach diesem Fehler hat mich viele Stunden gekostet....


Es wäre aber sicherheitstechnisch sträflicher Leichtsinn, dem Webserver www-data wegen der Pegelmessungen volle Rootrechte einzuräumen. Bleiben wir also vorsichtig. Verschaffen wir uns auf der Konsole Rootrechte! Jetzt muss root die Vollmachten-Datei öffnen, in der root manchen Benutzern gestattet, Befehle in roots Namen (mittels sudo) auszuführen.


Da finden wir zum Beispiel eine Zeile:

Der Benutzer pi darf also alles in roots Namen machen, solange er nur sudo davor schreibt. Das wissen wir ja schon.

Wir wollen unserer Steuerung, also dem Nutzer www-data gestatten, unser Skript mit root-Rechten auszuführen, aber nur das! (Sollte es einem Angreifer gelingen, die Steuerungssoftware zu knacken und zu übernehmen, käme er nicht zu root-Rechten. Der Angreifer dürfte in roots Namen nur Wasserstände messen. )

Unter der Generalvollmacht für pi ergänzen wir diese neue Zeile:

Anschließend noch eine Leerzeile und alles ist fertig zum Speichern, in joe mit ^K-X.


Jetzt sollte auch die Teichsteuerungssoftware Messungen durchführen dürfen. Nachdem der Sensor montiert wurde, ist er zu kalibrieren. Die Software stellt damit fest, wie hoch über der normalen Wasseroberfläche der Sensor montiert worden ist und speichert diesen Wert für jeden Sensor ab. Dazu muss man einfach den Anweisungen auf dem Bildschirm Folge leisten.


Pfiffikus,
der nun ans Verkabeln am Teich gehen will