MajorDoMo

Никому не интересно какая у вас температура в доме, влажность и прочие мелочи. Интереснее дома ли вы, открыты ли двери, поставлена ли охрана. Но, хакерам это тоже особо не интересно, если только у них нет знакомых криминальных элементов. Хакеру интересней засунуть на ваш сервер трояна, или спам-бота и тем самым добавить в ботнет еще одну машинку.
Так что первым делом защищаем сам сервер, а уж потом ковыряем MD. И да, ssl сертификат и запросы по https тут будет не последним делом.

У топикстартера похоже какой-то школьник просто шалит, раз оставляет за собой такие очевидные следы присутствия. Хотя, возможно это просто глюки самой системы. И еще: я думаю яндекс-боту незачем лазать по портам отличных от 80 и 443, так что в логах на 98% сканеры ходили.
В общем, делай защиту сервера, аутентификацию и вперед))

Механизм тот же, что и для других обновлений - комиты на гитхабе, к каждому комиту описание есть.

Я говорил совсем о другом — о заплатках безопасности, которые выпускают производители компонентов из которых собрана система. Это кто-то вообще отслеживает?

"Управления" серверами smartliving точно нету))

Речь шла об управлении MajorDoMo со стороны серверов smartliving, а не наоборот.

А обмен идёт только если включен модуль connect.

Где написано, что MajorDoMo не отсылает никакую телеметрию, даже если отключен модуль connect?

Я уже говорил что все IP-шники ваши давно выложены на открытых ресурсах

Стоп! А вот это интересно и с этого места поподробнее пожалуйста. Это где выложены все наши IP-шники?

я кстати только зашел в базу, и глянул на таблицу users...больше не делал ничего

Ага! Проблема не просто существует, она просто вопиёт ко всем, кто имеет хоть чуточку здравого смысла.

Встречный вопрос - а на АМС проводили такой аудит?))

Э, нет, nick7zmail, шалите: разница между АМС и MajorDoMo в том, что АМС в норме не претендует на работу через интернет (хотя может), а MajorDoMo для этого прямо предназначен и это его нормальное использование. И это принципиальная разница.

dioxin писал(а):Никому не интересно какая у вас температура в доме, влажность и прочие мелочи. Интереснее дома ли вы, открыты ли двери, поставлена ли охрана. Но, хакерам это тоже особо не интересно, если только у них нет знакомых криминальных элементов. Хакеру интересней засунуть на ваш сервер трояна, или спам-бота и тем самым добавить в ботнет еще одну машинку.
Так что первым делом защищаем сам сервер, а уж потом ковыряем MD. И да, ssl сертификат и запросы по https тут будет не последним делом.

У топикстартера похоже какой-то школьник просто шалит, раз оставляет за собой такие очевидные следы присутствия. Хотя, возможно это просто глюки самой системы. И еще: я думаю яндекс-боту незачем лазать по портам отличных от 80 и 443, так что в логах на 98% сканеры ходили.
В общем, делай защиту сервера, аутентификацию и вперед))

Топикстартер не обнаружил каких-то сомнительных подключений судя по логам, которые я видел в other_vhosts_access.log я еще раз подчеркну я не специалист в этом деле, но лог я проверял на мой взгляд более менее тщательно с точки зрения времени и наличия каких либо запросов от сомнительных IP. IP-шники, которые я не знаю и являлись не моими точками подключения, я проверил на принадлежность к провайдеру - все вело в Яндекс. Мой вывод, если даже к моему MD кто-то подключился, и по "колдовал", это точно не оставил следы, во всяком случае в логе "other_vhosts_access.log" И к с тате, кто знает, что в него пишется? файл лога "access.log" ПУСТ изучать нечего, что в него должно писаться??? Есть ли другие способы подключения к примеру к БД MD используя SQL инъекции??? кто нибудь изучал этот вопрос???

Alex писал(а): Э, нет, nick7zmail, шалите: разница между АМС и MajorDoMo в том, что АМС в норме не претендует на работу через интернет (хотя может), а MajorDoMo для этого прямо предназначен и это его нормальное использование. И это принципиальная разница.

Да МД в принципе тоже никто не заставляет в инет выставлять на самом деле...изначально система поставляется без какого-либо доступа в интернет...перенаправление портов - дело рук пользователей уже...знаю людей у которых он в локалке вполне неплохо живет...при этом "управление со стороны серверов smartliving" в принципе невозможно...

Alex писал(а): Стоп! А вот это интересно и с этого места поподробнее пожалуйста. Это где выложены все наши IP-шники?

Скинул в личку. Ибо те кто не знают таких ресурсов - пусть далее будут в неведении...а те кто хоть немного в теме информационной безопастности - и так знают подобные...как и "хакеры" собственно, и в руках хакера (особенно неумелого, и хотящего просто попакостить) - это страшный инструмент)).

скорее надо начинать новую под жирными буквами БЕЗОПАСНОСТЬ системы

Вот с этим полностью согласен и двумя руками за. Безопасность это ахиллесова пята MajorDoMo и это нужно обсуждать и искать решения, а сейчас используется страусиная политика — голову в песок и проблемы как бы не существует, хотя она огромна.

Скинул в личку. Ибо те кто не знают таких ресурсов - пусть далее будут в неведении...а те кто хоть немного в теме информационной безопастности - и так знают подобные...как и "хакеры" собственно, и в руках хакера (особенно неумелого, и хотящего просто попакостить) - это страшный инструмент)).

Спасибо, прям пошёл изучать где это мой айпишник висит приготовленный для хакеров

Alex писал(а):

скорее надо начинать новую под жирными буквами БЕЗОПАСНОСТЬ системы

Вот с этим полностью согласен и двумя руками за. Безопасность это ахиллесова пята MajorDoMo и это нужно обсуждать и искать решения, а сейчас используется страусиная политика — голову в песок и проблемы как бы не существует, хотя она огромна.

Да с чего вдруг это ахиллесова пята-то?! Не предназначена Мажордомо для выставления в открытый доступ. По нескольким причинам - если свойство можно изменить url запросом, то какой смысл что-то там внутри с безопасностью наворачивать?! А если нельзя - то теряется гибкость.
Вторая причина - поскольку довольно много модулей пишут сами пользователи, то они делают только то что им нужно и то для чего им не жалко своего времени. Скажем я знаю что такое sql инъекция и как в принципе от неё защититься, но если я что-то пишу для своей системы, то я не буду тратить время на наворачивание всяких защит от всего, что может ввести пользователь. Потому что пользователь это я, и он априори вменяемый.
Третья причина - настройки сервера делает пользователь, а чтобы сделать безопасный сервер какая-никакая квалификация нужна. Более того - эту безопасность надо всё время поддерживать - следить за найденными дырами, вовремя обновлять все компоненты. Т.е. нормальная такая, времязатратная работа сисадмина - и кому это надо?!
Четвёртая причина - автор у системы один, времени у него не много, для тестирования безопасности в разных конфигурация потребуется нереальное количество времени.

Резюме - подход топикстартера я честно говоря не понимаю - я перед уходом из дому открыл дверь нараспашку, а потом удивляюсь - а чего это в доме какие-то люди побывали....

Не предназначена Мажордомо для выставления в открытый доступ.

А со всеми бедами и косяками, которые вы перечислили, MajorDoMo предназначен для открытия ему выхода интернет?

Или пока вы не стали админом 80-го уровня и не провели соответствующий комплекс мероприятий этого делать всё-таки не стоит?

Обсуждение безопасности MajorDoMo

Alex писал(а):

Не предназначена Мажордомо для выставления в открытый доступ.

А со всеми бедами и косяками, которые вы перечислили, MajorDoMo предназначен для открытия ему выхода интернет?

Или пока вы не стали админом 80-го уровня и не провели соответствующий комплекс мероприятий этого делать всё-таки не стоит?

Для открытия ему выхода - да, предназначен. Для открытия входа - нет, не предназначен. Как и в принципе любая система, если вы не умеете её администрировать.
И повторюсь - никаких особенных бед и косяков я в Мажордомо не вижу. Для тех целей, для которых он предназначен, а именно - центр умного дома, на мой вкус он вполне себе неплохо подходит. Наличие возможностей подключения разных устройств, более-менее понятная структура, интерес автора к развитию системы, какой-то костяк людей, которые в системе разобрались, в отличие от каких-нибудь openHabов необязательно писать кучу команд, чтобы что-то подключить. Как система внутри своей уютненькой сети он очень неплох. А для того чтобы включать лампочки из любого места планеты, есть куча способов - VPN, где вам надо поддерживать безопасность одного пакета-протокола, телеграмм, общение посредством E-Mail, смсками, самонаписанными проксями,где вы дозирует что именно и куда передаётся. В конце концов никто не мешает выставить свой маленький веб-сервер с 1 сценой в сеть и использовать его как посредника между миром и мажордомо, не думаю что это уж очень трудозатратно

По поводу админа 80-го уровня. В идеальном мире, да, не стоит, в реальном - если просчитывать риски и быть готовым к худшему - ну пробуйте

Для открытия ему выхода - да, предназначен. Для открытия входа - нет, не предназначен. Как и в принципе любая система, если вы не умеете её администрировать.
И повторюсь - никаких особенных бед и косяков я в Мажордомо не вижу. Для тех целей, для которых он предназначен, а именно - центр умного дома, на мой вкус он вполне себе неплохо подходит. Наличие возможностей подключения разных устройств, более-менее понятная структура, интерес автора к развитию системы, какой-то костяк людей, которые в системе разобрались, в отличие от каких-нибудь openHabов необязательно писать кучу команд, чтобы что-то подключить. Как система внутри своей уютненькой сети он очень неплох. А для того чтобы включать лампочки из любого места планеты, есть куча способов - VPN, где вам надо поддерживать безопасность одного пакета-протокола, телеграмм, общение посредством E-Mail, смсками, самонаписанными проксями,где вы дозирует что именно и куда передаётся. В конце концов никто не мешает выставить свой маленький веб-сервер с 1 сценой в сеть и использовать его как посредника между миром и мажордомо, не думаю что это уж очень трудозатратно

По поводу админа 80-го уровня. В идеальном мире, да, не стоит, в реальном - если просчитывать риски и быть готовым к худшему - ну пробуйте

В общем-то я с этим согласен и это примерно соответствует моему пониманию положения дел.