openWB Forum

Wikinger hat geschrieben: ↑Mo Sep 12, 2022 7:20 am Das mit dem internen Netz stimmt schon, aber wie viele haben ne echte Firewall davor? Zugegeben ist es unwahrscheinlich, dass da was "durch ne Fritzbox" gehackt wird, aber als ITler vertrete ich trotzdem die Auffassung, dass ein Betriebssystem, welches keine Securitypatches mehr enthält ausgetauscht/erneuert/upgegraded werden sollte.

Bei der immer größerer werdenden Anzahl LAN/WLAN-gebundener (IOT-)Geräte dürfte der Ansatz, JEDES davon OS-technisch aktuell zu halten, ein frommer Wunsch bleiben. Erstens ist regelmäßiges Patchen zeitaufwendig (+ ggf. problemlastig) und 2. müsste man bei auslaufendem Herstellersupport das ganze Gerät entsorgen, was null nachhaltig wäre.
Die zentrale Firewall ist da schon der richtige Ansatz. Für Normalanwender:innen sollten das verstärkt Fritzbox und Co. übernehmen. Ich denke, das weiß man auch dort. Auch VPN statt Port-Forwarding spricht sich langsam herum (und dass Cloud-APP's problematisch sein können auch ).

btw
Ab oWB 2.0 gibt's auch neues OS.

Gerade bei einem System wie dem RPi sollte das vom Hersteller eigentlich mit abgedeckt sein. Meiner Meinung nach schon etwas anderes als ein gekapseltes System, aber wenn man schon eine so offene Hard-/Software nimmt, sollte man das schon umsetzen. Da hoffe ich echt auf 2.0.

Kein Hersteller darf sich mehr darauf ausruhen, erst recht nicht nach den Neuregelungen des Gewährleistungsrechts hinsichtlich IT-Themen. Fahrlässig aus Anwaltssicht.

Deine Meinung hattest du ja schon vertreten, auch die offizielle Meinung der KG ist ja schon geäußert worden. Dennoch halte ich sie nicht für richtig.

Ja man kann ungepatchte Systeme betreiben, mache ich, aber nur in einem isolierten Netzt. Sobald man auf das Device kommt oder es wohin muss, stellt es ein Sicherheitsrisiko dar. Da hilft Dir keine Firewall.
Und ja ich habe eine Firewall und ja die Wallbox ist mit dem Wechselrichter in einem eigenen IOT VLAN. Aber auch dieses Netzt bedeutet Kommunikation und alle Geräte darin sind gefährdet.
Daher ist es grob fahrlässig ein solches System am Netzt zu betreiben. Und die Ausrede, ich habe so viele unterschiedliche Geräte, die ich nicht im Griff habe ist keine. Hast du es nicht im Griff, lass es bleiben.

Daher wäre hier eine klare offene Kommunikation seitens des Herstellers wünschenswert, gerade im Hinblick auf Upgrades und Updates.

Ein Verstecken der Probleme hinter einem Passwort und dann das Thema aussitzen ist extrem unprofessionell.

Ui, wollte eigentlich gar nicht so ne Diskussion auslösen .
Es muss definitiv was bei den Herstellern bzgl. Sicherheit und Updates geschehen, aber das muss für den Nutzer transparent sein. Die meisten Nutzer haben weder Lust noch Ahnung, sich darum zu kümmern. Bei OpenWB will ich dahingehend "gnädig" sein, dass es sich nicht um einen Weltkonzern sondern um ein im Verhältnis dazu kleines Team handelt und das Ganze Open Source ist, und daher alle, die schimpfen mithelfen dürfen!
Und da Besserung mit 2.0 in Aussicht steht, ist es doch auch ok. Letztlich finde ich es schon in Ordnung, wenn die Community dann einfach ein paar Guides schreibt.

Thema Guide: Hier noch einige kleine Aufräumarbeiten nach dem Update (mein vorheriger post):

sudo vi /etc/vim/vimrc.local
Zeile: source /usr/share/vim/vim80/defaults.vim per Editor nach 81 ändern
sudo apt purge php7.0*
sudo rm -rf /etc/php/7.0/
sudo a2enmod php7.3
sudo systemctl restart apache2
sudo pip3 install --upgrade requests
sudo pip install --upgrade requests
Und noch per Hand oder besser per Script:
sudo /bin/su -c "echo 'upload_max_filesize = 300M' > /etc/php/7.3/apache2/conf.d/20-uploadlimit.ini"
sudo /bin/su -c "echo 'post_max_size = 300M' >> /etc/php/7.3/apache2/conf.d/20-uploadlimit.ini"
sudo pip install -U pymodbus
alternativ (ggf. auch besser):
curl -s https://raw.githubusercontent.com/snapt ... install.sh | sudo bash

Terrasaugus hat geschrieben: ↑Mo Sep 12, 2022 12:30 pm Daher ist es grob fahrlässig ein solches System am Netzt zu betreiben.

"grob fahrlässig" - Das halte ich für eine völlig überzogene Aussage.

Ich betreibe jahrzentelang Rechentechnik in vielen Formen und halte mich an grundlegende Sicherheitsregeln. Ständiges OS-Patchen von IOT-Geräten gehört definitiv nicht mehr dazu.
Meine Erfahrung ist dort genau gegenteilig. Häufig holt man sich Probleme herein, die durch OS-interne Umstellungen hervorrufen werden und im worst case die eigentliche Funktion des IOT-Gerätes einschränken oder gar unmöglich machen.

Eine WB muss üblicherweise dauerhaft verfügbar sein und mit der oWB-Standardeinstellung einer lokalen Arbeitsweise ist schon viel für die Sicherheit getan. Wer sich jedoch alle möglichen APP's ohne Vorsichtsmaßnahmen in sein normales LAN holt, hat ein anderes, grundlegendes Problem.

OpenWB müsste erhebliche Ressourcen bereitstellen, um den Ansatz "OS immer aktuell" sicherzustellen (, was nicht heißt "immer besser"). Da sind mir die Funktionserweiterungen dann doch weit lieber. Nichtsdestotrotz wird auch an der Sicherheit gearbeitet => Schaut Euch v2.0 an.
viewtopic.php?f=3&t=5423
Das läuft dann auch mit https und ist von Grund auf neu gestrickt. Vermutlich gehen dann auch OS-Patches, jedoch hat der Grundsatz "never change a running system" einen nicht unerheblichen Wahrheitsgehalt.

Montair hat geschrieben: ↑Mo Sep 12, 2022 10:16 am Gerade bei einem System wie dem RPi sollte das vom Hersteller eigentlich mit abgedeckt sein. Meiner Meinung nach schon etwas anderes als ein gekapseltes System, ...

Was ist denn ein "gekapseltes" (IOT-)System? Diese Geräte haben alle mehr oder wenige ähnliche Schwachstellen und sind alle connected.
Raspbian als vollwertiges OS steht aber vor allem auch für eine häufige Modernisierung, was bei einer WB eigentlich unnötig ist. Am besten ein Debian mit LTS und fertig.

Aiole, das hilft so aber nicht. LTS vermutet nur Long Term Support, also dass es für einen erweiterten Zeitraum auch Security Patches geben wird. Bedeutet weiterhin, dass diese Patches auch installiert werden müssen.
Hoffen wir dass V2.0 mit Buster ans Laufen kommt und dann bleibt evtl. Auch Zeit wieder sich weiter mit den Patches zu beschäftigen.

VG
Det

derNeueDet hat geschrieben: ↑Mo Sep 12, 2022 4:11 pm Aiole, das hilft so aber nicht. LTS vermutet nur Long Term Support, also dass es für einen erweiterten Zeitraum auch Security Patches geben wird. Bedeutet weiterhin, dass diese Patches auch installiert werden müssen.

Das ist schon klar. Dafür brauchst Du shell-Zugriff, was in 1.9 nicht für Normaluser vorgesehen ist.
Wie gesagt - ich sehe solche OS-updates eher kritisch bezüglich Funktionssicherheit und Zusatzaufwand.

derNeueDet hat geschrieben: ↑Mo Sep 12, 2022 4:11 pm Hoffen wir dass V2.0 mit Buster ans Laufen kommt und dann bleibt evtl. Auch Zeit wieder sich weiter mit den Patches zu beschäftigen.

VG
Det

Läuft mit Bullseye:
openwb@openwb2-alpha3:~ $ cat /etc/os-release
PRETTY_NAME="Raspbian GNU/Linux 11 (bullseye)"

Ähh, ja ich weiß, hab mich vertippt, weiter oben hab ich Bullseye geschrieben. Ich hab schon lange eine V2 auf nem Raspi laufen.
Allerdings keinen Ladepunkt mit dem ich testen kann und meine Standard+ muss das Auto laden.

Meine Meinung:
Wenn ein neues Debian (Raspian) erscheint bzw. einmal im Jahr könnte openwb für interessierte Nutzer ein neues Image bereit stellen, zum download und selber "installieren" (Auf eine neue SD-Karte schieben).

Kann doch eigentlich nicht so schwer sein oder läuft die 1.9 nur mit uralten Paketen, die nicht mehr in Bullseye vorhanden sind ?

Das fertige Image muss sein, da sonst Leute wie ich, die ein frisches Raspian in die openwb schieben, sich direkt den Buchsenmotor schrotten, weil der Motor so am GPIO hängt, dass er standardmäßig durch brennt. Ich habe z.B. keine Ahnung wo/wie man die GPIO voreinstellt.