如何提升Home Assistant的安全性,智能家居安全提升

2022-11-29

Home Assistant是一个用于家庭自动化的开源免费软件旨在成为智能家居设备的控制系统，强调本地控制和隐私。你可以通过基于网络的用户界面访问家庭助手，方法是通过Alexa或谷歌助手等受支持的虚拟助手使用语音命令，或者使用Android和iOS的配套应用程序。

本指南将解释如何提高你的Home Assistant的安全性。让我们开始吧。

为什么保护我的Home Assistant实例很重要？

这个问题很明显。如果有人与您的Home Assistant实例有联系，此人可以更改您的制冷/制热设置(风险较高)或控制你的灯(烦恼/低风险)，或者，根据您的实例设置，打开家门或打开车库门(高风险)。此外，通过一些插件和使用Ingress的选项，有人可以访问您的Home Assistant或shell access的配置文件，实际上，可以访问您的整个网络。由于Home Assistant需要存储几个密码或其他安全密钥才能与其他服务协作，因此您很容易暴露几个密码。

除了开门或冻结房屋的明显风险之外，获取信息对怀有恶意的人来说更重要，而不是在你所在的社区。如果你实行正确的密码卫生，访问你的Home Assistant的秘密/密码可以允许一个好人访问几个帐户，并使他们能够负责访问重要的帐户。此外，有了完整的网络接入，引入勒索软件将变得很容易，你的信息将被锁起来，直到你付钱取回。

保护home assistant实例的基础是什么？

现在让我们看看保护家庭助手实例的基础知识。

密码

“Home Assistant”在安装过程中会要求输入密码。努力实践正确的密码卫生。每个访问你的Home Assistant实例的用户都要使用唯一的强密码。你的安全取决于你最弱的密码。

多因素身份认证(MFA)

假设您的密码或您的Home Assistant实例上的另一个用户的密码已泄露或较弱；MFA将提供额外的安全层，以防止不良行为者访问您的Home Assistant实例。您可以找到关于设置MFA的Home Assistant文档这里。对MFA的密码使用相同的控制。还是那句话，你最薄弱环节的强度决定了你的安全。

可见性/用户访问

更改管理员权限和限制视图目前需要提供更多的附加安全性。对观点加以限制是通过模糊来增加安全性，但不会有什么坏处。

用户级别

Home Assistant提供了三个用户帐户级别:管理员、普通用户和所有者。如前所述，该特性目前不提供任何额外的安全性，但只适合设置。如果用户不需要成为管理员，则通过导航到他们的用户帐户页面并选择要停用的管理员切换来取消该权限。

查看权限

任何一个完全了解家庭助手的人都可以毫不费力地绕过这方面。但是，对可见性进行更改会阻止非专业人员。此功能限制了特定用户可以看到的内容，并使您能够将Home assistant上某些视图的可见性仅限于需要它们的人。

限制访问尝试

通常情况下，Home Assistant将允许某人敲传统的前门，直到他们累了或获得访问权。通过持续通知在Home Assistant前端记录无结果的登录尝试。但是，如果您定期检查您的实例，有人可能会在被注意到之前长时间尝试访问它。

IP过滤和禁止

通过在Home Assistant中设置IP过滤和禁止工具，您可以阻止任何人在几次失败的登录尝试后进行进一步的尝试。然而，确保你有另一种方式进入；假设你错误地通过这种方法禁止了自己。你需要从一个不同的IP地址进入Home Assistant或者改变“ip_bans”。yaml '文件并重新启动以消除限制。

获得登录尝试失败的通知

就像我之前说的，默认情况下，Home Assistant会在前端将失败的登录尝试显示为一个持续的通知。我更喜欢这些通知直接发送给我，让我知道它们是实时发生的。

托管文件

这一方面在美国得到了很好的处理Home AssistantHTTP文档但是经常被忽视，我已经看到一些人在发现这个问题后，在论坛上把它作为一个问题来讨论。您可以在www文件夹中的主配置目录中看到文件。有互联网连接的人无需登录就可以查看这些文件。不要将任何不想让任何人看到的内容转移到这个www文件夹中。

避免暴露个人信息

在设置您的家庭助手实例的名称/位置时，不要包含任何人都可以识别的任何个人信息。此外，不要使用任何可识别的个人数据作为您的域名。

确保一切都是最新的

让您的Home Assistant、附件、操作系统以及与您的实例或网络相关的一切保持最新。每天都会在各种设备上发现一些安全漏洞，并定期推出同等数量的修复程序。

据我所知，直接的家庭助手安全漏洞只有两个(这些早就整理出来了)。此外,“家庭助手”还利用了其他几个软件包/代码源等。，也进行了更新，可能存在安全漏洞。确保它们都是最新的，这样你就可以获得任何安全问题的最新补丁。此外，检查您的调制解调器/路由器/防火墙(为您提供互联网连接的盒子)是否有更新。

如何保护我的Home Assistant实例(远程访问)

现在让我们来看看你如何确保你的Home Assistant的安全。但是在我们开始之前，让我们简单地了解一下DuckDNS。

什么是DuckDNS？

DuckDNS是一种将难以记忆的IP地址(如95.214.17.132)转换成更简单的替代地址(如quackquack.duckdns.org)的服务。如果设置正确，它可以自动更新总是发送quackquack.duckdns.org到你的Home Assistant实例，即使当你的IP地址发生变化。了解DuckDNS和其他动态DNS提供商不添加任何形式的担保。

端口开放/转发

为了允许来自您家庭网络外部的访问，您转发一个端口，并通知您的防火墙/路由器将敲门的人转发到您网络中指定的任何地方。你可以把这个动作看作是在你的房子里开着门/窗，这样任何人都可以进来。通常，端口443或8123会转发到您的Home Assistant实例。此转移会将您网络之外指定了您的IP地址或域以及正确端口的任何人定向到您的Home Assistant实例。

端口443是加密HTTPS流量的默认端口。每当您填写IP地址或网址时，一些互联网浏览器默认使用HTTPS和端口443。如果您只打开您必须打开的端口，这将是最好的，并且使用一个不太常用的端口将减少打开的端口看到的流量。如前所述，端口443是HTTPS流量的默认端口，它被频繁扫描。例如，选择20K以上的不常用端口不能提供安全性。此操作大大减少了尝试和日志噪音。这让关注的事情变得简单多了。

Home Assistant流量加密

如果你试图在没有流量加密的情况下访问任何网站或你的Home Assistant实例，任何有访问权限的人都可以以纯文本方式看到所有内容。你在网络浏览器中输入的任何字符，比如说密码，都会以纯文本形式发送，任何人都可以阅读/查看。

您可以使用DuckDNS插件来加密您的流量。这是一种常用的方法，免费且易于设置。您可以通过导航到supervisor页面，然后导航到附加组件商店来安装DuckDNS附加组件。每个附加组件配置页面都提供了配置附加组件和Home Assistant实例以加密流量的过程。看看这个视频这里来看看事情是怎么安排的。

Home Assistant的远程访问(DuckDNS/HA云)

使用VPN

虚拟专用网络是您从任何有互联网连接的位置回到家庭网络的专用路径。VPN是打开端口的替代方法，您可以使用它，而不需要另一个加密设置，因为所有的VPN流量都是加密的。

我多久对我的Home Assistant进行一次安全检查？

定期进行安全检查对你的Home Assistant的安全至关重要。以下是对您的家庭助手实例执行安全检查的方法:

看看互联网上的其他人是如何看待你的

使用公共计算机，尝试从web浏览器访问您的实例，观察发生了什么，并检查反馈是什么样子的。测试您的实例密码(如果连接成功),并确认您收到了登录失败通知。假设你有一个错误密码的限制；确保您在超出限制后被拒之门外。

定期运行Shodan支票。检查你的IP和域名，在“Home Assistant”、“Home Assistant”或任何你能想到的关键词下搜索结果，看看你是否出现了。

使用GRC的护盾开始扫描。

运行aNmap扫描从公共IP(您可以使用公共wi-fi在您的网络内部执行此扫描)。

如果Shodan、Nmap扫描或shields up测试显示一个开放的端口，该怎么办？那么，在这一点上，你应该仔细考虑两件事。首先，你是否有意让港口敞开？如果不是，那么这个问题需要解决。如果您打算让它打开，并使用测试作为确认，世界上任何人也可以看到该端口，只要他们有互联网连接。在该端口上运行的任何服务都应该是安全的，因为任何人都可以访问它。运行安全性测试，并尽可能使用强密码和双因素身份验证。

确认您的安全设置

最后，努力确认你的Home Assistant的安全。您可以再次阅读本指南，以确保一切都按照您想要的方式设置。我们都会在某一点上改变构型。有时，在进行这些更改时，我们会忘记应用我们已有的安全规则。它只适合定期检查一切。是否为所有用户设置了双因素身份认证？附件、操作系统和Home Assistant是否是最新的？所有用户的密码仍然是强密码并且不被重复使用吗？

东胜物联的智能家居网关具备开放的Zigbee2MQTT API，使其与各种智能家居应用和平台轻松对接。

　　东胜智能家居网关推荐