Artikel-Updates
Lass dich über Updates in diesem Artikel informieren, indem du rechts oben im Menü auf Beobachtung klickst.
Inhalt
Sicherheitshinweis
Dieses Plugin ist nur für Benutzer mit Linux-Erfahrung geeignet. Durch die eingeschränkten Möglichkeiten des Loxone Miniservers ist keine ausreichend sichere Kommunikation zwischen Miniserver und LoxBerry möglich.
Trotz der eingebauten Sicherheitsfunktionen (Einschränkung auf Quell-IP-Adressen, Einschränkung auf das eigene Subnet) könnte ein Eindringling mit einem gezielten Angriff (IP-Spoofing) die Kontrolle des LoxBerry's übernehmen und damit Zugriff auf Miniserver-Zugangsdaten erhalten.
Download
Alle Releases: https://github.com/christianTF/LoxBerry-Plugin-Any/releases
Dort beim aktuellsten Release
- entweder den "Source code (zip)" herunterladen, am LoxBerry auswählen und installieren,
- oder den "Source code (zip)"-Link in die Zwischenablage kopieren, diesen in der Pluginverwaltung bei der URL einfügen, und installieren.
Repository bei Github: https://github.com/christianTF/LoxBerry-Plugin-Any
Installation
Das Plugin kann normal installiert werden. Nach der Installation muss der LoxBerry neu gestartet werden. In LoxBerry muss ein Miniserver konfiguriert sein, an den die Antwort gesendet wird.
Funktion des Plugins
Mit dem Plugin wird ein TCP-Port geöffnet, mit dem der Miniserver mit dem Plugin kommunizieren kann.
Über diesen Port können direkt Shell-Kommandos (Phase 1) oder vordefinierte Makros (Phase 2) aufgerufen werden.
Bei jedem Aufruf kann als Parameter übergeben werden, ob der Return-Code des Aufrufs in einen virtuellen Eingang, oder der Output des Aufrufs per UDP übermittelt werden soll.
Senden von Kommandos (Loxone Config)
Virtuellen Ausgang einrichten
Dafür einen Virtuellen Ausgang erstellen:
Eigenschaft | Wert | Anmerkung |
---|---|---|
Bezeichnung und Beschreibung | Nach Belieben | Ist für die Funktion nicht relevant |
Adresse | tcp://<loxberry>:9095 | <loxberry> ist der Hostname oder die IP des LoxBerry. Der Port ist als Standard 9095. kann aber in der Plugin-Konfiguration geändert werden |
Verbindung nach Senden schließen | Aktiv |
Virtuellen Ausgangsbefehl anlegen
Einen virtuellen Ausgangsbefehl anlegen und bei Befehl bei EIN das Any-Kommando eingeben.
Die Syntax sieht so aus:
<Eindeutiger_Name> <Rückgabemodus> command <Shell-Befehl>
<Eindeutiger_Name> <Rückgabemodus> macro <Makro-Name>
(Makros noch nicht implementiert!)
Hier die ausführliche Parameterbeschreibung
Parameter | ||
---|---|---|
1.Parameter | <Name> | Ein eindeutiger Name, um den Request zu identifizieren. Der Name wird für die Rückgabe verwendet. |
2.Parameter |
| → Das Ergebnis des Aufrufs wird nicht zurückgeliefert. → Der Exit Code des Aufrufs wird in einen virtuellen Eingang mit der Bezeichnung <Name> geschrieben. → Der Output des Scripts wird per UDP an den Miniserver gesendet. → Der Exit Code wird in <Name> geschrieben und der Output per UDP gesendet. → Bei dieser Angabe wird die Rückgabe an den zweiten (dritten, vierten usw.) Miniserver gesendet. |
3.Parameter |
| → Der Befehl nach "command" wird komplett am LoxBerry ausgeführt. → Das Makro namens <Makroname> wird ausgeführt. (noch nicht implementiert!) → Entsprechend des Sendetyps wird die aktuelle Epoch-Time am LoxBerry übermittelt. |
Beim Rückgabetyp (rc, udp oder rcudp) kann die Sequenz "Punkt Nummer" (z.B. rc.2
oder udp.1
) für die Miniservernummer (von LoxBerry) mitgegeben werden, um jenem die Antwort zu senden. Wird dies nicht angegeben, wird immer der erste Miniserver verwendet.
Beispiel:
# Sendet das Directorylisting per UDP Dir_Listing udp command ls -l # Sendet den Linux Hostnamen per UDP und setzt den Exit Code des Aufrufs in den virtuellen Eingang <LB_Hostname> LB_Hostname rcudp command hostname # Sendet die Linux Epoch-Zeit an den virtuellen Eingang <LB_Epoch> LB_Epoch rc.1 ping # Sendet die Zeit in Sekunden seit dem letzten Miniserverbackup (Plugin) per UDP an den _dritten_ Miniserver (001_MSOG ist das Backupverzeichnis) LB_Hostname udp.3 command echo $(($(date +%s) - $(date +%s -r /opt/loxberry/webfrontend/html/plugins/miniserverbackup/files/001_MSOG)))
Konfigurationsoptionen
In der Plugin-Konfiguration kann definiert werden, welche Sicherheitsstufe vom Plugin angewendet wird:
Security Mode ( | Beschreibung |
---|---|
UNSECURE (default) | Shell-Kommandos können direkt übergeben werden und werden ausgeführt. Das ist unsicher, da am LoxBerry jeglicher Befehl ausgeführt werden kann. (PHASE 1) |
RESTRICTED | In der Plugin-Konfiguration am LoxBerry werden Shell-Befehle als Makros vordefiniert. Nur diese Makros dürfen ausgeführt werden. (PHASE 2) |
Authentifizierung (authentication= ) | Beschreibung |
---|---|
off (default) | Es gibt keine Authentifizierung. Alle Kommandos werden entsprechend des Security Mode ausgeführt. |
on | Eine 2-Phasen-Authentifizierung soll sicherstellen, dass der Aufruf tatsächlich vom Miniserver kommt. IDEEN Wer hier eine gute Idee hat, die aus Ausführen von TCP-Befehlen in Loxone nicht sehr verkompliziert, bitte melden! |
Auf Subnet einschränken (restrict_subnet= ) | Beschreibung |
---|---|
off | Das Subnet des Clients wird nicht geprüft. |
on (default) | Nur Clients aus dem gleichen Subnet dürfen sich anmelden. |
Auf IPs einschränken (allowed_remote_ips= ) | Beschreibung |
---|---|
leer (default) | Keine Einschränkung auf einzelne IPs |
<IP1>, <IP2>, <IP3> | Eine mit Komma getrennte Auflistung von IP-Adressen (z.B. 192.168.1.77, 192.168.1.78). Der Filter sollte grundsätzlich auch mit IPv6 funktionieren, ist aber damit noch nicht getestet. |
Eigene Scripte erstellen und ausführen
Das Plugin erzeugt bei der Installation das Verzeichnis /opt/loxberry/data/plugins/anyplugin/commands (bzw. von Windows aus: \\loxberry\loxberry\data\plugins\anyplugin\commands).
In diesem Verzeichnis können eigene Shell-Scripts erstellt werden - das Verzeichnis wird bei einem Plugin-Update gesichert.
Der Pfad ist auch der Standardpfad, wenn kein Pfad bei der Ausführung mitgegeben wird. Achte deswegen darauf, dass du ./deinscript.sh
angibtst (Punkt Schrägstrich), damit das Script ausgeführt wird. Bei Scripts in anderen Pfaden musst du den vollen Pfad beim Aufruf mitgeben.
Da die Dateien im commands-Verzeichnis, von Windows aus erstellt, nicht executeable sind, setzt das Service bei jedem Neustart alle Scripts auf Executeable (+x). Dafür musst du nur "Speichern" im WebUI drücken.
Beim Bearbeiten von Scripts von Windows aus beachte, dass der Zeilenumbruch unter Linux anders ist. Ich empfehle zum Bearbeiten von Scripts unter Windows den Editor Notepad++. Im Menü Bearbeiten / Format Zeilenende kannst du Konvertiere zu UNIX ausführen, um das richtige Format zu haben. Stelle den Zeichensatz einer neuen Datei außerdem auf UTF-8 (UTF-8 ohne BOM).
Roadmap
Phase 2 wird erst fortgesetzt, wenn LoxBerry 0.3 released it, und wenn zum Plugin mehr Feedback da ist. Fehler werden gefixt.
PHASE 1
- DONE Direkte Aufrufe von Shell-Commandos per TCP (UNSECURE mode).
- DONE Rückgabe des Exit-Codes
- DONE Rückgabe des Aufruf-Outputs per UDP
- DONE Webinterface zur vollständigen Konfiguration des Plugins
PHASE 2
- DONE Sicherheit: Einschränkung auf Quell-IP-Adressen
- DONE Sicherheit: Einschränkung auf das eigene Subnet
- DONE Sicherheit: Wahlweise Ausführung als User loxberry oder root
- OPEN Konfiguration von Makros am LoxBerry möglich (RESTRICTED mode)
- OPEN Service-Healthcheck direkt am LoxBerry
- DONE Service-Healthcheck vom Miniserver aus ("ping")
- OPEN Parsen von #Name# and #Value# in Makro-Definitionen zum Einsetzen des Namens und des übergebenen Analogwertes
PHASE 3
- DONE Ausführung der Commands als eigener Prozess (fork)
- OPEN Sicherheit: Authentifizierung mittels Handshake.
- OPEN Erweiterung der Makrofunktion um Variablen → Im Makro können mehrere Loxone-Werte ausgewertet und im Befehl verwendet werden
- #TempWohnzimmer# liest das Loxone-Element "TempWohnzimmer" und setzt es als Wert in den Aufruf ein
- #MS2.TempWohnzimmer# liest das Loxone-Element "TempWohnzimmer" vom zweiten Miniserver
Fragen stellen und Fehler melden
Fragen stellen im LoxForum Thread: https://www.loxforum.com/forum/projektforen/loxberry/plugins/124449-plugin-any-plugin-f%C3%BCr-loxberry
Fehler melden im GitHub Repo: https://github.com/christianTF/LoxBerry-Plugin-Any/issues
10 Comments
SirRules
Christian Fenzl Die SSH-Befehle White-zu-listen (Makrofunktion) oder generell mit zusätzlicher Authentifizierung zu versehen finde ich klasse.
Ich hätte da eine Idee, die nicht allzu kompliziert wird (in der Loxone App).
Schritt 1:
Loxberry beibringen, sich per SSH + One Time Passwort authentifizieren zu können. Dafür müsste man irgend ein OTP-Gerät im Loxberry anlernen, z.B. den Google Authentificator oder ähnliche Apps. Siehe z.B. hier: https://www.thomas-krenn.com/de/wiki/SSH-Login_mit_2-Faktor-Authentifizierung_absichern
Das ganze sollte dann auch schön in Loxberry in die GUI eingebaut werden, sodass man dort das Secret ins Handy abtippen oder den Barcode direkt abscannen kann und schließlich das erste OTP von der Handy App wieder in Loxberry eingibt und somit die Einrichtung von OTP abschließt.
Dann brauchst du noch einen weg, eine loxberry-Betriebssystem-Kommand mit erzwungener OTP-Abfrage aufrufen zu können, notfalls SSH@localhost, dann müsste die OTP abfrage kommen...
Schritte 2:
Um das ganze möglichst einfach Bedienbar für die Loxberry-App zu integrieren, wäre (neben einem Auslösenden Button o.ä.) eine Möglichkeit für das eingeben des OTP-Tokens vom Google Authentificator in die Loxone App nötig. Am besten wäre hier ein User Input Dialog - dazu habe ich habe nichts im Netz gefunden...
Eine Alternative, die immernoch handelbar wäre - ist das einbauen von einem Tastenfeld, das in etwa so aussieht:
Der User klickt dann die einzelnen Buttons so, wie der OTP-Token gerade angezeigt wird. Im Beispiel oben mit # markiert wurde das OTP 213448 vom Google Authentificator angezeigt und entsprechend eingetippt.
Schritt 3:
Bei Knopfdruck fragt Loxone die 60 Buttonzustände ab und erhält somit den aktuellen OTP-Code.
Optimierungen:
Christian Fenzl
Für eine Schnittstelle ist eine Auth mit wiederkehrender Interaktion eher ungeeignet. Das muss schon automatisch funktionieren, und das mit den beschränkten Mitteln des Miniservers. Es geht mir im die Sicherstellung, dass ein Befehl von einem Miniserver kommt, und nicht von einer Shell auf einem beliebigen PC. Und die (unverschlüsselte) Kommunikation soll nicht reproduzierbar sein, ein normaler, statischer Token reicht nicht aus.
SirRules
Hmm alles was mir sonst einfällt, stößt an die Grenzen des Miniservers (keine Texteingabemöglichkeit, keine Möglichkeit User-Zertifikate zu verwalten, kein SSO-Modul implemenitert, kein OTP-Modul Implementiert).
Vllt. mit PicoC-Script ein OTP-Modul implementieren..
SirRules
Noch ein paar Ideen:
Mit Scripting:
Mit Bausteinen:
Wichtige Hinweise:
Sicherheitsgarantien:
SirRules
Christian Fenzl
Das ist praktisch leider nicht umsetzbar.
Es ist in Loxone schon ein Problem, zwei Analogwerte in einem Request zu übermitteln. Abgesehen davon, dass die ganzen Algorithmen dem Endbenutzer gar nicht zur Verfügung stehen, ist es für einen Endbenutzer kaum umsetzbar, einen derartigen Handshake in Logik zusammenzuklicken.
Was mir gut gefällt, ist das simple Validieren des Commands durch Rückfrage. Aber selbst da bist du auf MS-Seite schon wieder am Ende mit der Funktionalität.
SirRules
Hmm, so langsam lerne ich die Einschränkungen etwas besser kennen. Text zu verarbeiteten schein (ohne Zahlengewusel und ASCI-Chararacterkonvertierungsbausteinchaos) nicht zu gehen.
Um das ganze etwas simpler zu gestalten, bezogen auf deinen letzten Satz; folgendes sollte doch lösbar sein:
SirRules
Ich habs geschafft den Token als Text von Loxberry zu Loxone zu übertragen und wieder abzufen.
Hier ein kleiner Proof of Concept. Es wurde per MQTT eine Variable im Loxberry gesetzt (geht auch ohne MQTT, war aber gerade schneller zu testen), über einen Eingang am Loxone kann der String verarbeitet werden, vgl. dazu Liveview-Screenshot von den beiden Bausteinen. Der Text wird dann in einen eigenen Logger geschrieben. Von der Datei wird der Text dann über die API von Loxberry gelesen (authentifizierung notwendig
). Token sollte dann inkl. Logdatei danach wieder gelöscht werden.
Wenn du noch folgendes baust, wäre es gelöst:
Einrichtungsaufwand für Enduser je Command:
Christian Fenzl
Da muss ich drüber nachdenken! Das hört sich nicht so schlecht an!
Wir haben in LoxBerry noch keinen verschlüsselten Weg von und zum Miniserver.
Wir brauchen TLS am LoxBerry, das würde vieles vereinfachen.
SirRules
„Zum Miniserver“ bringt nichts weil Loxone glaube ich immer noch keine Https-Seiten aufrufen kann. Dafür gibt’s auch ein Loxberry Plugin, das tls am loxberry terminiert und dann die webseite per http unverschlüsselt zum loxone durchstellt.
Also bleibt momentan leider nur „vom Miniser zum Loxone“ per TLS übers Loxone-Zertifikat (bei neueren Miniservern) verschlüsselt oder für die älteren Miniserverversionen noch über AES-Verschlüsselung. Eben über 1,2a,2b.