Gsh https tls

Tags: #<Tag:0x00007f5923437fa0>

bonjour
j’ai un jeedom 4 sur un raspberry pi 3B+ . je viens de faire l’acquisition d’une Google Home Mini, donc je m’intéresse au plugin GHS. mais avant d’en faire l’acquisition, j’ai lu qu’il fallait autorisé le “cloud jeedom” à accéder à son jeedom perso en https.
Actuellement je peux déjà le faire, mais j’avoue que j’ai sécurisé le tout avec un filtre sur les ip sources et aussi en configurant une connexion tls mutuel (avec certificat privé).
Ma question est simple : est ce qu’il est possible de configurer une connexion https en tls mutel (en donnant un certificat privé dans la configuration du plugin par exemple) ? ou alors connais t’on les ip sources du cloud jeedom qui accéderont à notre jeedom ?
Le but est que je ne tiens pas à laisser l’accès a mon jeedom a n’importe qui. ;o)
merci beaucoup

Bonjour
Malheureusement non et non. Il n’y a pas de tls mutuelle mais par contre il faut absolument que ton jeedom soit accessible en HTTPS valide.

Pour l’ip on pourrait te la donner mais ça t’avancerai pas bcp car elle va bientôt changer par un système plus moderne et distribué donc il n’y en aura pas que une IP mais plusieurs qui pourrait évoluer et qui seront pas connu a l’avance

Une solution, si le cloud jeedom est derrière un dns, placer un Fw type pfsense et n’autoriser que ce host a avoir accès. De plus avoir un certificat valide sur le reverse proxy du Fw ou sur jeedom avec un nat. A ce moment, on rentre dans un environnement plus complexe… Mais faisable. Je le fait actuellement chez moi pour le plugin télégram

Ah c’est dommage, question securité j’aime pas trop ouvrir au monde entier unemachine de mon reseau :o(

L’idee de Poluket est plaisante, mais mon “firewall” c’est juste la Freebox, du coup je suis limité a la declaration d’ip, je n’ai pas vu la possibiité de declarer un host :o(

Tout est possible en terme de sécurité
Mais bien réfléchir en terme de curseur jusqu’où tu veux aller
Ne pas ouvrir full son jeedom est compliqué a suivre en terme d’autorisation et fini par te bloquer toi même
En effet tu pourrais tout fermer , et n’ouvrir que quelques ip …
Pour y accéder ? Que en vpn pour toi ?

Je pense que le meilleur moyen est d’ouvrir a l’extérieur mais de façon sécurisée
Avec un vrai certificat, un password complexe
Un reverse proxy en dmz et pourquoi pas jeedom aussi dans une dmz
Du fail 2 ban etc …

Jeedom utilisant des briques open source , les exploit découverts sont vite corrigé s

Et surtout une très bonne backup

Tout a fait d’accord avec toi bartounet, je suis tout a fait pres à ouvrir à toutes les ip, je l’ai deja fait d’ailleurs mais juste une authent par mot de passe ça me plait pas trop :slight_smile: C’est pour ça qu’actuellement j’ai mis en place un certificat client pour l’authent, du tls mutuel je trouve ça tres bien, mais il semblerait que cela ne soit pas possible pour le jeedom cloud Gsh
j’ai aussi deja un reverse proxy avec nginx.
mais sans le certificat client, cela n’empeche pas quelqu’un de tester voir de foutre en l’air le jeedom :o(
je reste ouvert a toute les propositions, je suis loin de savoir tout ce qu’il est possible de faire :slight_smile:

Au fait, qu’entends tu par “vrai certificat” ? :wink:

encore merci a tous.

Tu peux bannir l’ip dès le premier mot de passe erroné.

quelqu’un peut il me donner une copie d’ecran d’une “bonne” configuration de l’onglet securité ?
je sais que tout est relatif :wink: mais c’est pour avoir une idée :slight_smile:
merci bcp

Petite question supplémentaire, peut on imaginer qu’il soit un jour, peut être même prochainement ;o), possible de configurer la dépose d’un certificat privé par exemple pour faire de l’authent mutuelle ? :o)

Merci

Non désolé ca ne sera pas possible.