Home Assistant Addon: Sicherheitsbedenken

[LC7894]

Hallo zusammen,

ich überlege seit Längerem RasperryMatic als Home Assistant Addon zu verwenden. Was mich hier als "einfacher Anwender", der nur rudimentäre Programmierkenntnisse hat, jedoch stark verunsichert, sind die Warnungen, die mir Home Assitant über das AddOn ausgibt. Zum Einen ist hier die Einstufung in die schlechteste Sicherheitskategorie und zum anderen die zusätzliche Warnung im Hinblick auf das Deaktivieren des Protection Modes zu nennen.

Wenn ich mir das"offizielle" HomeMatic-AddOn von Home Assistant anschaue, hat dies das höchste Sicherheitsrating. Außerdem ist im offiziellen AddOn von einem Deaktivieren des Protection Modes nicht die Rede.

Ich würde mich freuen, wenn ihr mir Aufschluss geben könnt, warum RaspberryMatic im Gegensatz zum "offiziellen" Addon ein so schlechtes Sicherheitsrating hat. Kann ich RaspberryMatic bedenkenlos installieren oder laufe ich damit auf die Gefahr mein System angreifbarer zu machen?

Danke Vorab! 🙂

[jens-maus]

ich überlege seit Längerem RasperryMatic als Home Assistant Addon zu verwenden. Was mich hier als "einfacher Anwender", der nur rudimentäre Programmierkenntnisse hat, jedoch stark verunsichert, sind die Warnungen, die mir Home Assitant über das AddOn ausgibt. Zum Einen ist hier die Einstufung in die schlechteste Sicherheitskategorie und zum anderen die zusätzliche Warnung im Hinblick auf das Deaktivieren des Protection Modes zu nennen.

Das kann ich natürlich gut verstehen, das dies Otto-Normal-Nutzer ggf. verunsichert das das RaspberryMatic Add-on hier als quasi "unsicher" von Home Assistant markiert wird und das man auch laut Dokumentation manuell diesen "Protection Mode" abschalten muss. Es sei hier jedoch von technischer Seite gesagt, das faktisch das Add-on nicht unsicherer ist als das "HomeMatic Add-on" welches HomeAssistant selbst noch mit anbietet.

Der Punkt, warum das RaspberryMatic Add-on leider in dieses schlechte Sicherheitsrating von HomeAssistant reingerutscht ist, ist vor allem, da man momentan leider nicht ohne die Deaktivierung des "Protection Mode" auskommt weil das RaspberryMatic add-on direkt auf lokal angeschlossene Geräte wie die RPI-RF-MOD, HM-MOD-RPI-PCB Funkmodule nur über diesen Weg zugreifen kann. Hintergrund ist, das der HA Supervisor eigentlich aus guten Gründen versucht sämtliche direkte Hardwarezugriffe nur über fest spezifizierte Wege zur Verfügung zu stellen. Nun ist aber das RaspberryMatic Add-on hier im Gegensatz zu anderen HomeAssistant add-on ein recht Spezielles auf das der momentane Mechanismus leider nicht ganz passt und von Seite der HomeAssistant Entwickler hier erst Anpassungen durchgeführt werden müssen damit auch das RaspberryMatic Add-on direkt auf lokale Geräte zugreifen kann ohne das man den Protection Mode des gesamten Add-on (und damit des Docker Containers) deaktivieren muss. Zu diesem Umstand existiert auch bereits ein prinzipielles Ticket im HomeAssistant Supervisor Projekt (siehe home-assistant/supervisor#2690) welches aber leider noch nicht abschließend bearbeitet wurde.

Das man diesen "Protection Mode" also momentan deaktivieren muss ist der Grund dafür, das das Add-on im Sicherheitsrating so schlecht automatisiert "bewertet" wird. Mit Nichten drückt dies aus, das das Add-on an sich unsicher arbeitet oder gar eine Gefährdung des HA Hauptsystems darstellt. Vielmehr fehlt der HomeAssistant Add-on Schnittstelle einfach ein Feature um in diesem Fall trotz direktem Gerätezugriff das Sicherheitsrating nicht automatisch so schlecht ausfallen zu lassen.

Wenn ich mir das"offizielle" HomeMatic-AddOn von Home Assistant anschaue, hat dies das höchste Sicherheitsrating. Außerdem ist im offiziellen AddOn von einem Deaktivieren des Protection Modes nicht die Rede.

Das das "offizielle" HomeMatic-AddOn selbst eine so gute Bewertung hat und auch der Protection Mode nicht deaktiviert werden muss ist nur Ausdruck dessen, das eben auch gewisse Features in diesem Addon nachweislich fehlen die es eigentlich genau das momentan notwendig machen würden. Nebenbei sei auch gleich noch erwähnt, das das "offizielle" HomeMatic-AddOn momentan dabei ist in Rente zu gehen und in einer der nächsten Versionen dann nicht mehr unterstützt werden wird und stattdessen das RaspberryMatic AddOn hier komplett die HomeMatic Funktionalität übernehmen wird. Spätestens dann soll natürlich auch daran gearbeitet werden, das dieses AddOn nicht unnötigerweise ein so schlechtes Sicherheitsrating erhält.

Kann ich RaspberryMatic bedenkenlos installieren oder laufe ich damit auf die Gefahr mein System angreifbarer zu machen?

Aus heutiger Sicht würde ich diese Frage mit einem klaren JA beantworten. Auch wenn der "Protection Mode" momentan noch deaktiviert werden muss, so stellt das RaspberryMatic HA AddOn selbst keine Gefahr für das HA Hauptsystem dar, denn wie erwähnt ist das abschalten dieses Mode nur notwendig damit RaspberryMatic auf angeschlossene Funkmodule direkt zugreifen kann. Darüberhinaus gibt es keinerlei andere Zugriffe (z.B. aus das Dateisystem des HA Hostsystems) die das notwendig machen würden. Ergo kann das RaspberryMatic AddOn in gleicher weise wie das "offizielle" HomeMatic-AddOn als sicher angenommen werden.

[LC7894]

Vielen Dank, dass du dir die Zeit genommen hast, um meine Bedenken so ausführlich und gut verständlich zu beantworten. Unter diesen Umständen kann ich das schlechte Sicherheitsrating nachvollziehen und das AddOn mit einem guten Gefühl installieren.

Zu diesem Umstand existiert auch bereits ein prinzipielles Ticket im HomeAssistant Supervisor Projekt (siehe home-assistant/supervisor#2690) welches aber leider noch nicht abschließend bearbeitet wurde.

Ich bin gespannt, ob Home Assistant-seitig mittelfristig etwas getan wird, um die Deaktivierung des Protection Modes gar nicht erst erforderlich zu machen. Dies überzeugt sicher noch mehr "Otto-Normal-Nutzer" das AddOn zu installieren.

Vielen Dank für dein Engagement und die viele Arbeit mit dem AddOn/RaspberryMatic! 🙂

[DcFamas]

@LC7894 das Problem sollte nun behoben sein. s. anhand der hervorragenden Arbeit von @jens-maus.

home-assistant/supervisor#2690 (comment)