On helppo ymm\u00e4rt\u00e4\u00e4 ett\u00e4 kotiautomaatioj\u00e4rjestelm\u00e4n tietoturva-asioihin t\u00e4ytyy kiinnitt\u00e4\u00e4 erityist\u00e4 huomiota, varsinkin jos j\u00e4rjestelm\u00e4\u00e4n on liitetty kameroita, kodin h\u00e4lytysj\u00e4rjestelm\u00e4 tai vaikkapa \u00e4lylukkoja. T\u00e4ss\u00e4 muutamia poimintoja mit\u00e4 j\u00e4rjestelm\u00e4\u00e4 rakennettaessa kannattaa huomioida.<\/p>\n
Salasanojen vahvuutta ei voi koskaan korostaa liikaa. Ennen salasanoissa on suositettu k\u00e4ytett\u00e4v\u00e4n isoja ja pieni\u00e4 kirjaimia, numeroita ja erikoismerkkej\u00e4. Paremman suojan ns. brute-force<\/a> -hy\u00f6kk\u00e4yksi\u00e4 vastaan saa n\u00e4iden lis\u00e4ksi pitkill\u00e4 (yli 15 merkki\u00e4 sis\u00e4lt\u00e4vill\u00e4) salasanoilla tai lauseilla. Aiheesta lis\u00e4\u00e4 esimerkiksi\u00a0Kyberturvallisuuskeskuksen ohjeessa<\/a>.<\/p>\n Home Assistantissa voi olla tallennettuna useita eri salasanoja: k\u00e4ytt\u00f6liittym\u00e4n salasana(t), MQTT, reititin, notifikaatiopalvelut, jne. Home Assistant tarjoaa salasanojen tallentamiseen k\u00e4yt\u00e4nn\u00f6ss\u00e4 kahta eri tapaa: Salasanat voivat olla selkokielisen\u00e4 configuration.yaml<\/em> -tiedostossa tai erillisess\u00e4 secrets.yaml<\/a><\/em> -tiedostossa. Turvallisempi vaihtoehto on suojata salasanat kryptaamalla ne erillisen skriptin avulla. Salasanojen kryptaamiseen on Home Assistantissa kaksi vaihtoehtoa keyring<\/a> tai credstash<\/a>.\u00a0Home Assistant tukee my\u00f6s monivaiheista tunnistautumista<\/a>, mik\u00e4 parantaa suojaustasoa merkitt\u00e4v\u00e4sti.<\/p>\n Kannattaa tarkkaan harkita tarvitseeko kotiautomaatioj\u00e4rjestelm\u00e4\u00e4n p\u00e4\u00e4st\u00e4 k\u00e4siksi kodin ulkopuolelta vai luottaako siihen ett\u00e4 automaatiot toimivat kuten pit\u00e4\u00e4kin ja ett\u00e4 (virhe)tilanteista saa riitt\u00e4v\u00e4t ilmoitukset vai tarvitseeko tietoja v\u00e4ltt\u00e4m\u00e4tt\u00e4 n\u00e4hd\u00e4 ja asetuksia muuttaa my\u00f6s kotoa poissa ollessaan. Yhteysmahdollisuus kotiverkon ulkopuolelta avaa my\u00f6s hy\u00f6kk\u00e4\u00e4jille mahdollisuuden p\u00e4\u00e4st\u00e4 kotiverkkoon sis\u00e4lle.<\/p>\n Jos k\u00e4yt\u00f6ss\u00e4 on dynaaminen julkinen IP-osoite, saa osoitteen helpommin muistettavampaan muotoon dynaamisen DNS-palvelun avulla. T\u00e4llainen palvelu on esimerkiksi suomalainen dy.fi<\/a>. Palvelu vaatii kotiverkon palvelimella tai reitittimess\u00e4 s\u00e4\u00e4nn\u00f6llisesti ajettavan skriptin, joka p\u00e4ivitt\u00e4\u00e4 IP-osoitteen palveluun. Kotiverkkoon yhdistet\u00e4\u00e4n t\u00e4m\u00e4n j\u00e4lkeen palveluun rekister\u00f6idyll\u00e4 osoitteella: esim. kotiautomaatio.dy.fi<\/p>\n Riippuen kotiverkon toteutuksesta ja yhteystavasta, tarvitaan lis\u00e4ksi porttiohjaus laajakaista-modeemin ja reitittimien asetuksiin, jotta liikenne l\u00f6yt\u00e4\u00e4 reitin ulkoverkon ja Home Assistant -palvelimen v\u00e4lill\u00e4. Yhteyden muodostamiseen kannattaa ehdottomasti k\u00e4ytt\u00e4\u00e4 salattua VPN-tunnelia<\/a> tai TLS(SSL)-salattua<\/a> yhteytt\u00e4 avoimen salaamattoman yhteyden sijaan.<\/p>\n Home Assistant mahdollistaa IP -osoitteiden eston v\u00e4\u00e4rien kirjautumisyritysten perusteella. T\u00e4m\u00e4n saa k\u00e4ytt\u00f6\u00f6n laittamalla configuration.yaml<\/em> -tiedostoon rivit:<\/p>\n Yll\u00e4 olevat rivit saavat Home Assistantin est\u00e4m\u00e4\u00e4n kirjautumisyritykset viiden v\u00e4\u00e4r\u00e4n kirjautumisyrityksen j\u00e4lkeen. Home Assistant kirjaa estetyt IP-osoitteet konfiguraatio-hakemistossa olevaan ip_bans.yaml<\/em> -tiedostoon, josta niit\u00e4 voi tarvittaessa muokata. Estetyt IP-osoitteet ilmestyv\u00e4t n\u00e4kyviin my\u00f6s k\u00e4ytt\u00f6liittym\u00e4n etusivulle.<\/p>\n Laajemmat s\u00e4\u00e4t\u00f6mahdollisuudet yhteyksien hallintaan saa kodin reitittimen palomuurin tai Home Assistantin k\u00e4ytt\u00f6j\u00e4rjestelm\u00e4n iptables<\/a>\/NFTables<\/a> -ty\u00f6kalun avulla. IP-estojen lis\u00e4ksi voi t\u00e4ll\u00f6in m\u00e4\u00e4ritt\u00e4\u00e4 esimerkiksi vain tietyt sallitut IP-osoitteet, jolloin kaikki muut yhteydet estet\u00e4\u00e4n.<\/p>\n Monet kodin \u00e4lylaitteista haluavat pit\u00e4\u00e4 yhteytt\u00e4 laitevalmistajien omiin palveluihin, jolloin ei ole t\u00e4ytt\u00e4 varmuutta mit\u00e4 tietoja valmistajille v\u00e4litet\u00e4\u00e4n. K\u00e4ytett\u00e4ess\u00e4 laitteita Home Assistantin kanssa, laitteille riitt\u00e4\u00e4 yleens\u00e4 yhteys vain Home Assistantin kanssa, eik\u00e4 ulkopuolisia yhteyksi\u00e4 tarvitse sallia. Helpoiten t\u00e4m\u00e4 onnistuu m\u00e4\u00e4rittelem\u00e4ll\u00e4 kodin reitittimen asetuksista onko laitteella p\u00e4\u00e4sy Internetiin vai ei.<\/p>\n \u00c4lylaitteiden omaan tietoturvaan kannattaa my\u00f6s kiinnitt\u00e4\u00e4 huomiota. Hy\u00f6kk\u00e4\u00e4j\u00e4 saattaa k\u00e4ytt\u00e4\u00e4 laitteiden tietoturva-aukkoja hyv\u00e4kseen ja p\u00e4\u00e4st\u00e4 sit\u00e4 kautta kodin verkkoon. Kannattaa siis huolehtia ett\u00e4 laitteiden tietoturvap\u00e4ivitykset ovat ajan tasalla. Lis\u00e4ksi auttaa yhteyksien salliminen vain luotetuista IP-osoitteista eli yhteydet vain Home Assistantin ja \u00e4lylaitteen v\u00e4lill\u00e4. Toinen hyv\u00e4 keino on erist\u00e4\u00e4 kodin \u00e4lylaitteet omaan (virtuaaliseen<\/a>) kotiautomaatioverkkoon. T\u00e4ll\u00f6in murtautuja onnistuessaan p\u00e4\u00e4see k\u00e4siksi vain t\u00e4h\u00e4n rajattuun kotiverkon osaan.<\/p>\n Ei ehk\u00e4 liity suoraan tietoturvaan, mutta kotiautomaatioj\u00e4rjestelm\u00e4n varmuuskopioista on my\u00f6s hyv\u00e4 huolehtia. Esimerkiksi Raspberry Pi:n muistikortin pett\u00e4ess\u00e4, on j\u00e4rjestelm\u00e4 huomattavasti nopeammin palautettavissa toimintakuntoon tuoreen varmuuskopion avulla. Helpoimmat tavat lienee tehd\u00e4 varmuuskopiot valmiiden laajennusten avulla GitHubiin<\/a> tai Google Driveen<\/a>.<\/p>\n Kaikki omat varmuuskopioni (mukaanlukieni esimerkiksi valokuvat ja muut dokumentit) teen ensin paikalliselle NAS-palvelimelle. NAS-palvelimelta varmuuskopiot tehd\u00e4\u00e4n edelleen kotiverkon ulkopuolella olevalle palvelimelle. Varmuuskopioiden tekemiseen k\u00e4yt\u00e4n rsync<\/a> -skripti\u00e4, joka on ajastettu cron<\/a>:lla suoritettavaksi kerran viikossa. Tiedot ovat t\u00e4ll\u00f6in tallessa kolmella eri palvelimella ja kahdessa eri fyysisess\u00e4 paikassa.<\/p>\n Skripti kopioi kaikki Home Assistantin tiedostot alihakemistoinen, k\u00e4ytt\u00e4j\u00e4oijkeuksineen ym. (-a archive mode) NAS-palvelimelle \/HASSBackup -hakemistoon. Siirtoon k\u00e4ytet\u00e4\u00e4n SSH-yhteytt\u00e4 ja tiedostot pakataan (-z) siirron aikana. Vastaavanlainen skripti on k\u00e4yt\u00f6ss\u00e4 varmuuskopioitaessa NAS-palvelimelta ulkoiselle palvelimelle.<\/p>\n\n\n <\/p>\n","protected":false},"excerpt":{"rendered":" On helppo ymm\u00e4rt\u00e4\u00e4 ett\u00e4 kotiautomaatioj\u00e4rjestelm\u00e4n tietoturva-asioihin t\u00e4ytyy kiinnitt\u00e4\u00e4 erityist\u00e4 huomiota, varsinkin jos j\u00e4rjestelm\u00e4\u00e4n on liitetty kameroita, kodin h\u00e4lytysj\u00e4rjestelm\u00e4 tai vaikkapa \u00e4lylukkoja. T\u00e4ss\u00e4 muutamia poimintoja mit\u00e4 j\u00e4rjestelm\u00e4\u00e4 rakennettaessa kannattaa huomioida. Salasanat Salasanojen vahvuutta ei voi koskaan korostaa liikaa. Ennen salasanoissa on suositettu k\u00e4ytett\u00e4v\u00e4n isoja ja pieni\u00e4 kirjaimia, numeroita ja erikoismerkkej\u00e4. Paremman suojan ns. brute-force -hy\u00f6kk\u00e4yksi\u00e4 vastaan saa n\u00e4iden lis\u00e4ksi pitkill\u00e4 (yli 15 merkki\u00e4 sis\u00e4lt\u00e4vill\u00e4) salasanoilla tai lauseilla. Aiheesta lis\u00e4\u00e4 esimerkiksi\u00a0Kyberturvallisuuskeskuksen ohjeessa. Home Assistantissa voi olla tallennettuna useita eri salasanoja: k\u00e4ytt\u00f6liittym\u00e4n salasana(t),…<\/p>\nEt\u00e4yhteys<\/h3>\n
Yhteyksien hallintaa<\/h3>\n
http<\/span>:<\/span>\n ip_ban_enabled<\/span>:<\/span> true<\/span>\n login_attempts_threshold<\/span>:<\/span> 5\n<\/span><\/code><\/pre>\n\u00c4lylaitteiden p\u00e4\u00e4sy verkkoon<\/h3>\n
Varmuuskopiot<\/h3>\n
#!\/bin\/sh
\/usr\/bin\/rsync -az \/home\/homeassistant\/.homeassistant\/ user@NAS:\/HASSBackup\/<\/pre>\n