[vz-users] Login/Absicherung von VZ Installationen

[Andreas Goetz]

Hallo,

> Nachtrag:
> Ok da da fehlt noch was in der Apache Config:
[Wed Jan 04 09:28:00.272081 2017] [proxy:error] [pid 12797] (111)Connection
refused: AH00957: HTTP: attempt to connect to 127.0.0.1:8080 (*) failed
[Wed Jan 04 09:28:00.272123 2017] [proxy_http:error] [pid 12797] [client
192.168.1.100:54228] AH01114: HTTP: failed to make connection to backend:
localhost

Dann sollte das Frontend eine Fehlermeldung anzeigen da der HTTP Request
als zurück kommt- evtl. aber erst nach längerem Timeout. Falls nein bitte
Issue aufmachen.

2017-01-04 9:49 GMT+01:00 Christian Schnellrieder <
schnellrieder.cs at gmail.com>:

> Hallo.
>
> Ja alles auf Stand (git, composer, etc). Auch die .htaccess Datei habe ich
> geändert und dazu noch Apache neu gestartet.
>
> Einzige Sonderheit bei mir im System ist:
> 1. Das Frontend läuft auf dem Port 81... sollte aber egal sein meiner
> Meinung.
>

Völlig egal.


> 2. vendor/bin/ppm start -c etc/ppm.json wollte bei mir nicht tun. Da
> Meckert er wegen dem CGI Pfad. Den hab ich dann einfach mit angegeben.
>
> Naja wenns nicht läuft kann die MW auch nicht verwendet werden ;) Aber:
wenn Dein FE auf 81 läuft dann läuft Deine MW sicher auch auf 81? Dann muss
ggf. die Rewrite Rule angepasst werden. Andererseits zeigt der Proxy Error
im Apache log dass er die Regel wohl schon zieht.

Dein php liegt nicht in /usr/bin/php wie in der ppm.json angegeben? Für den
Raspi sollte die Einstellung egtl. passen.


>
> >Und wie immer die Frage: werlche Requests schickt der Browser und mit
> welchen Ergebnissen kommen die zurück (Firefox: F12 für die Debugconsole).
> >Ansonsten schaue ich gerne rein- ssh und url per PM.
>
> Schau ich mir an sobald ich mehr Zeit hab. Ich meld mich.
>

Versuch mal einfach mal die MW ohne Frontend aufzurufen: http://
<ip>/entity.json



>
> Grüße
>

Viele Grüße,
Andreas


>
>
>
> Andreas Goetz <cpuidle at gmail.com> schrieb am Mi., 4. Jan. 2017 um
> 09:36 Uhr:
>
>> Moin Christian,
>>
>> ein paar Startschwierigkeiten sindsicher normal wenns erstmalig vom Labor
>> in die freie Wildbahn geht ;)
>>
>> 2017-01-04 9:15 GMT+01:00 Christian Schnellrieder <
>> schnellrieder.cs at gmail.com>:
>>
>> Guten Morgen Andi.
>>
>> Also ich hab versucht die ppm lt. https://github.com/
>> volkszaehler/volkszaehler.org/tree/master/misc/tools#ppm zu installieren.
>> Das Frontend öffnet auch ohne Probleme aber er findet keine
>> Kanäle.Versuche ich eine UUID hinzuzufügen passiert gar nichts.
>>
>>
>> Mhhm. Installiert und gestartet?
>>
>>
>>
>> Hast du eine Idee wo ich da ansetzen kann?
>>
>>
>> Hast Du in der .htaccess auch die Umleitung auf die dann separat laufende
>> Middleware gesetzt:
>>
>> # enable this rule if using ppm middleware
>> <IfModule mod_proxy.c>
>>     # RewriteEngine On
>>     # RewriteRule ^middleware(.php)?/(.*) http://localhost:8080/$2 [P]
>> </IfModule>
>>
>> Vmtl. ja denn falls nein sollte einfach Deine "alte" MW aktiv sein.
>>
>> Und wie immer die Frage: werlche Requests schickt der Browser und mit
>> welchen Ergebnissen kommen die zurück (Firefox: F12 für die Debugconsole).
>>
>> Ansonsten schaue ich gerne rein- ssh und url per PM.
>>
>> Viele Grüße,
>> Andreas
>>
>>
>>
>> Grüße
>>
>>
>> Sirko <mail_ist at nurfuerspam.de> schrieb am Mi., 4. Jan. 2017 um
>> 08:28 Uhr:
>>
>> Hi,
>>
>>
>> > High Performance Middleware
>>
>> du meinst den ppm?
>>
>> Früher gab's mal den httpd https://github.com/volkszaehler/httpd
>>
>> Worin unterscheiden die beiden sich?
>>
>>
>> Grüße
>>
>> Sirko
>>
>>
>>
>> Am 03.01.2017 um 20:33 schrieb Andreas Goetz:
>>
>> Hallo,
>>
>> Frohes Neues Jahr Zusammen!
>>
>> Ihr wisst ja dass ich hartnäckig sein kann. In den letzten Tagen haben
>> ich nach dem mißglückten Merge daher massiv Arbeit darein gesteckt alle VZ
>> Komponenten wieder 100%ig funktionsfähig zu machen.
>>
>> Dazu gehören auch die High Performance Middleware (siehe
>> https://github.com/volkszaehler/volkszaehler.org/tree/master/misc/tools)
>> und der zuletzt nicht mehr korrekt funktionierende push-server (gleicher
>> Link).
>>
>> Apropos High Performance Middleware: ich muss nochmal Werbung dafür
>> machen dass die MW damit in der Lage ist Requests in wenigen (<10!)
>> Millisekunden zu beantworten. Wäre Klasse wenn wir das in das Image
>> einbauen könnten (@Udo: einmalig kann ich das gerne einrichten, ist im Link
>> aber auch recht gut dokumentiert).
>>
>> Auf der Basis habe ich dann auch gleiche die Testskripte renoviert und
>> User Authorization neu aufgesetzt (https://github.com/
>> volkszaehler/volkszaehler.org/pull/551). Aus meiner Sicht wäre das
>> Feature damit reif standardmäßig in VZ einzuziehen. Bei Bedarf könnte ich
>> noch eine Option einbauen es ggf. auch komplett abzuschalten falls sich die
>> individuelle Konfiguration der Firewall Regeln dafür als zu aufwändig
>> erweist.
>>
>> Viele Grüße, Andreas
>>
>>
>> On 27 Aug 2016, at 12:33, Andreas Goetz <cpuidle at gmail.com> wrote:
>>
>> Hallo Zusammen,
>>
>> das prinzipielle Feedback war zwar “brauche ich nicht”, ich habe mir aber
>> trotzdem mal den Spass gemacht, Firewall und User Authorization
>> prototypisch zu implementieren.
>>
>> Wer damit spielen möchte findet hier den Code: https://github.com/
>> volkszaehler/volkszaehler.org/pull/458
>>
>> Das Ganze basiert auf JSON Web Tokens für Bearer Authentication und
>> sollte tunlichst- da Username/ Passwort übertragen werden- _nur_ über HTTPS
>> Anwendung finden.
>>
>> Die Änderungen an der vz.conf Datei sollten eigentlich hinreichen
>> erklären was es zu konfigurieren gibt. Freue mich über Feedback im PR.
>>
>> Viele Grüße,
>> Andreas
>>
>>
>> On 15.08.2016, at 11:36, Andreas Goetz <cpuidle at gmail.com> wrote:
>>
>> Ich mache Jacobs Mail mal als neues Thema auf:
>>
>> Bei der Durchsicht der URL-Befehle habe ich gesehen, dass anscheinend
>> auch schreibend auf die Datenbank zugreifen kann. Ist das nicht
>> gefährlich, so einen Webserver ins öffentliche Netz zu stellen, wenn
>> jeder daran herum fummeln kann?
>>
>>
>> Äh, ja, das ist das Prinzip von vz. Allerdings muß man ja die UUID
>> kennen, um Kanäle und deren Daten manipulieren zu können, deswegen sollte
>> man die UUID auch geheim halten (und Kanäle nicht einfach public machen,
>> sonst kann man sie einfach so auflisten). Neue Kanäle anlegen und nutzen
>> geht aber natürlich schon.
>> M.W. hatte Justin das so konzipiert, damit z.B. demo.volkszaehler.org
>> ohne Anmeldung (und Passwort-Recevory, Email etc. pp.) genutzt werden kann.
>> Faktisch ist es aber heute wohl so, daß die meisten ihren eigenen VZ-Server
>> laufen haben, da finde ich das eher ungeschickt (zumal die UUIDs auch etwas
>> unhandlich sind).
>>
>> -- snip --
>>
>> Ich sehe- wenn wir es einfach halten wollen- 2 Anwendungsfälle:
>>
>> a) Absicherung einer privaten Installation
>> b) Usermanagement für eine öffentliche Installation wie demo
>>
>> Letzteres klammere ich mal aus da es grundlegende Änderungen an VZ
>> erfordern würde. Für a) gibt es verschiedene Möglichkeiten von furchtbar
>> einfach bis etwas umfangreicher:
>>
>> 1) Basic Authentication, also Username + Password. Für ein Mindestmaß an
>> Sicherheit ist SSL erforderlich- das gilt ebenso aber auch für alle
>> weiteren Varianten. Das muss zusätzlich so konfiguriert werden dass
>> vzlogger (aus dem internen Netz) ohne Basic Auth weiterhin seine Daten
>> abliefern kann.
>>
>> 2) Token Authentication: initiales Login per U/P, ab da Token der
>> expired. Dabei hätten wir sogar die Möglichkeit einzelne User zu
>> definieren- imeinfachsten Falle per Konfigurationsdatei, sonst als
>> Datenbankerweiterung. Wenn Datenbankerweiterung dann können wir auch Rechte
>> vergeben (schreiben, löschen, lesen) und Kanäle zu Usern "gehören" zu
>> lassen.
>> Weiterhin wäre es ggf. sinnvoll authentifizierten Nutzern auch "private"
>> Kanäle ohne Kenntnis der UUID anzubieten.
>>
>> Gibts Bedarf?
>>
>> Viele Grüße,
>> Andreas
>>
>>
>>
>>
>> --
>>
>> Von meinem Smartphone versendet
>>
>> --
>
> Von meinem Smartphone versendet
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://demo.volkszaehler.org/pipermail/volkszaehler-users/attachments/20170104/bd557392/attachment-0001.html>