[vz-users] Login/Absicherung von VZ Installationen

Christian Schnellrieder schnellrieder.cs at gmail.com
Wed Jan 4 09:49:25 CET 2017 

Hallo.

Ja alles auf Stand (git, composer, etc). Auch die .htaccess Datei habe ich
geändert und dazu noch Apache neu gestartet.

Einzige Sonderheit bei mir im System ist:
1. Das Frontend läuft auf dem Port 81... sollte aber egal sein meiner
Meinung.
2. vendor/bin/ppm start -c etc/ppm.json wollte bei mir nicht tun. Da
Meckert er wegen dem CGI Pfad. Den hab ich dann einfach mit angegeben.


>Und wie immer die Frage: werlche Requests schickt der Browser und mit
welchen Ergebnissen kommen die zurück (Firefox: F12 für die Debugconsole).
>Ansonsten schaue ich gerne rein- ssh und url per PM.

Schau ich mir an sobald ich mehr Zeit hab. Ich meld mich.

Grüße



Andreas Goetz <cpuidle at gmail.com> schrieb am Mi., 4. Jan. 2017 um 09:36 Uhr:

> Moin Christian,
>
> ein paar Startschwierigkeiten sindsicher normal wenns erstmalig vom Labor
> in die freie Wildbahn geht ;)
>
> 2017-01-04 9:15 GMT+01:00 Christian Schnellrieder <
> schnellrieder.cs at gmail.com>:
>
> Guten Morgen Andi.
>
> Also ich hab versucht die ppm lt.
> https://github.com/volkszaehler/volkszaehler.org/tree/master/misc/tools#ppm zu
> installieren.
> Das Frontend öffnet auch ohne Probleme aber er findet keine
> Kanäle.Versuche ich eine UUID hinzuzufügen passiert gar nichts.
>
>
> Mhhm. Installiert und gestartet?
>
>
>
> Hast du eine Idee wo ich da ansetzen kann?
>
>
> Hast Du in der .htaccess auch die Umleitung auf die dann separat laufende
> Middleware gesetzt:
>
> # enable this rule if using ppm middleware
> <IfModule mod_proxy.c>
>     # RewriteEngine On
>     # RewriteRule ^middleware(.php)?/(.*) http://localhost:8080/$2 [P]
> </IfModule>
>
> Vmtl. ja denn falls nein sollte einfach Deine "alte" MW aktiv sein.
>
> Und wie immer die Frage: werlche Requests schickt der Browser und mit
> welchen Ergebnissen kommen die zurück (Firefox: F12 für die Debugconsole).
>
> Ansonsten schaue ich gerne rein- ssh und url per PM.
>
> Viele Grüße,
> Andreas
>
>
>
> Grüße
>
>
> Sirko <mail_ist at nurfuerspam.de> schrieb am Mi., 4. Jan. 2017 um 08:28 Uhr:
>
> Hi,
>
>
> > High Performance Middleware
>
> du meinst den ppm?
>
> Früher gab's mal den httpd https://github.com/volkszaehler/httpd
>
> Worin unterscheiden die beiden sich?
>
>
> Grüße
>
> Sirko
>
>
>
> Am 03.01.2017 um 20:33 schrieb Andreas Goetz:
>
> Hallo,
>
> Frohes Neues Jahr Zusammen!
>
> Ihr wisst ja dass ich hartnäckig sein kann. In den letzten Tagen haben ich
> nach dem mißglückten Merge daher massiv Arbeit darein gesteckt alle VZ
> Komponenten wieder 100%ig funktionsfähig zu machen.
>
> Dazu gehören auch die High Performance Middleware (siehe
> https://github.com/volkszaehler/volkszaehler.org/tree/master/misc/tools)
> und der zuletzt nicht mehr korrekt funktionierende push-server (gleicher
> Link).
>
> Apropos High Performance Middleware: ich muss nochmal Werbung dafür machen
> dass die MW damit in der Lage ist Requests in wenigen (<10!) Millisekunden
> zu beantworten. Wäre Klasse wenn wir das in das Image einbauen könnten
> (@Udo: einmalig kann ich das gerne einrichten, ist im Link aber auch recht
> gut dokumentiert).
>
> Auf der Basis habe ich dann auch gleiche die Testskripte renoviert und
> User Authorization neu aufgesetzt (
> https://github.com/volkszaehler/volkszaehler.org/pull/551). Aus meiner
> Sicht wäre das Feature damit reif standardmäßig in VZ einzuziehen. Bei
> Bedarf könnte ich noch eine Option einbauen es ggf. auch komplett
> abzuschalten falls sich die individuelle Konfiguration der Firewall Regeln
> dafür als zu aufwändig erweist.
>
> Viele Grüße, Andreas
>
>
> On 27 Aug 2016, at 12:33, Andreas Goetz <cpuidle at gmail.com> wrote:
>
> Hallo Zusammen,
>
> das prinzipielle Feedback war zwar “brauche ich nicht”, ich habe mir aber
> trotzdem mal den Spass gemacht, Firewall und User Authorization
> prototypisch zu implementieren.
>
> Wer damit spielen möchte findet hier den Code:
> https://github.com/volkszaehler/volkszaehler.org/pull/458
>
> Das Ganze basiert auf JSON Web Tokens für Bearer Authentication und sollte
> tunlichst- da Username/ Passwort übertragen werden- _nur_ über HTTPS
> Anwendung finden.
>
> Die Änderungen an der vz.conf Datei sollten eigentlich hinreichen erklären
> was es zu konfigurieren gibt. Freue mich über Feedback im PR.
>
> Viele Grüße,
> Andreas
>
>
> On 15.08.2016, at 11:36, Andreas Goetz <cpuidle at gmail.com> wrote:
>
> Ich mache Jacobs Mail mal als neues Thema auf:
>
> Bei der Durchsicht der URL-Befehle habe ich gesehen, dass anscheinend
> auch schreibend auf die Datenbank zugreifen kann. Ist das nicht
> gefährlich, so einen Webserver ins öffentliche Netz zu stellen, wenn
> jeder daran herum fummeln kann?
>
>
> Äh, ja, das ist das Prinzip von vz. Allerdings muß man ja die UUID kennen,
> um Kanäle und deren Daten manipulieren zu können, deswegen sollte man die
> UUID auch geheim halten (und Kanäle nicht einfach public machen, sonst kann
> man sie einfach so auflisten). Neue Kanäle anlegen und nutzen geht aber
> natürlich schon.
> M.W. hatte Justin das so konzipiert, damit z.B. demo.volkszaehler.org
> ohne Anmeldung (und Passwort-Recevory, Email etc. pp.) genutzt werden kann.
> Faktisch ist es aber heute wohl so, daß die meisten ihren eigenen VZ-Server
> laufen haben, da finde ich das eher ungeschickt (zumal die UUIDs auch etwas
> unhandlich sind).
>
> -- snip --
>
> Ich sehe- wenn wir es einfach halten wollen- 2 Anwendungsfälle:
>
> a) Absicherung einer privaten Installation
> b) Usermanagement für eine öffentliche Installation wie demo
>
> Letzteres klammere ich mal aus da es grundlegende Änderungen an VZ
> erfordern würde. Für a) gibt es verschiedene Möglichkeiten von furchtbar
> einfach bis etwas umfangreicher:
>
> 1) Basic Authentication, also Username + Password. Für ein Mindestmaß an
> Sicherheit ist SSL erforderlich- das gilt ebenso aber auch für alle
> weiteren Varianten. Das muss zusätzlich so konfiguriert werden dass
> vzlogger (aus dem internen Netz) ohne Basic Auth weiterhin seine Daten
> abliefern kann.
>
> 2) Token Authentication: initiales Login per U/P, ab da Token der expired.
> Dabei hätten wir sogar die Möglichkeit einzelne User zu definieren-
> imeinfachsten Falle per Konfigurationsdatei, sonst als
> Datenbankerweiterung. Wenn Datenbankerweiterung dann können wir auch Rechte
> vergeben (schreiben, löschen, lesen) und Kanäle zu Usern "gehören" zu
> lassen.
> Weiterhin wäre es ggf. sinnvoll authentifizierten Nutzern auch "private"
> Kanäle ohne Kenntnis der UUID anzubieten.
>
> Gibts Bedarf?
>
> Viele Grüße,
> Andreas
>
>
>
>
> --
>
> Von meinem Smartphone versendet
>
> --

Von meinem Smartphone versendet
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://demo.volkszaehler.org/pipermail/volkszaehler-users/attachments/20170104/3a1f88a3/attachment-0001.html>

More information about the volkszaehler-users mailing list