gerade mal wieder einen Klassiker erlebt. Kind schläft ausnahmsweise früh ein, man legt sich vor den TV und nach wenigen Minuten (mitten im Film) erklärt mir die Unitymedia SmartCard, dass diese auf ein Mal nicht mehr für das Programm freigeschaltet sein soll… Also Unitymedia Hotline anrufen – Fehlanzeige. Wegen der vielen Anrufer wird man nach Beantwortung der ganzen Fragen einfach raus geworfen.
… also Hinweis auf den Online Störungshelfer folgen. Sehr hilfreich – warten Sie mal bitte eine Stunde dann ist ihr Problem vermutlich erledigt, wenn nicht klicken Sie hier noch mal etwas herum, na danke! Ich liebe diese Art von Hilfe!
nach langer Vorbereitung bin ich nun endlich auf einen dedizierten Server umgezogen und habe die Gelegenheit nun auch genutzt um meine Webseite vollständig auf SSL umzustellen. Dank Let’s Encrypt geht das sehr einfach und ist zudem noch kostenlos. Dank der vorhandenen packages für alle gängigen Distros ist die Installation sowie die notwendigen laufenden updates (die Zertifikate haben nur eine Laufzeit von 90 Tagen) extrem einfach. Ich kann jeden mit einer Webseite nur motivieren seine Webseite ebenfalls umzustellen.
In der Windows Welt ist es ganz normal, dass man nach der Installation gefragt wird, ob sich das System selbst mit (Sicherheits-) Updates versorgen soll. Auf einem Debian System ist dies etwas anderst und bedarf einer kurzen Konfiguration. Ich empfehle für diesen Zweck die Installation des Tools „unattended-upgrades“:
1
# apt-get install unattended-upgrades
Die Grundkonfiguration ist an sich schon nicht schlecht, da ich jedoch gerne weiß was auf meinem System passiert lasse ich mir die logs der updates zuschicken. Dies erreicht man durch die Anpassung der Zeile:
1
Unattended-Upgrade::Mail"root";
In der Konfigurationsdatei
1
#/etc/apt/apt.conf.d/50unattended-upgrades
Zum aktivieren der automatischen Updates führt man nun noch folgenden Befehl aus:
1
# dpkg-reconfigure -plow unattended-upgrades
oder legt alternativ die Datei
1
#/etc/apt/apt.conf.d/02periodic
mit folgendem Inhalt von Hand an:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
// Enable the update/upgrade script (0=disable)
APT::Periodic::Enable"1";
// Do "apt-get update" automatically every n-days (0=disable)
APT::Periodic::Update-Package-Lists"1";
// Do "apt-get upgrade --download-only" every n-days (0=disable)
APT::Periodic::Download-Upgradeable-Packages"1";
// Run the "unattended-upgrade" security upgrade script
// every n-days (0=disabled)
// Requires the package "unattended-upgrades" and will write
// a log in /var/log/unattended-upgrades
APT::Periodic::Unattended-Upgrade"1";
// Do "apt-get autoclean" every n-days (0=disable)
APT::Periodic::AutocleanInterval"7";
Das war es auch schon – nun sollten die Sicherheitsupdates automatisch auf dem System eingespielt werden und entsprechende Benachrichtungen zu root gesendet werden.
Nachdem ich meine ersten Schritte der HomeAutomation mit einer auf einem Raspberry PI basierten FHEM gegangen bin, dabei aber durchweg auf HomeMatic Komponenten gesetzt habe, wollte ich nun auch die Steuerzentrale die direkt von HomeMatic angeboten wird testen.
Inbetriebnahme
Der Aufbau und der erste Start des Gerätes ist recht einfach wenn man sich etwas mit IT auskennt und nicht versucht sich an die Anleitung zu halten. Darin steht nämlich z. B. dass man die Webseite der Steuerzentrale im lokalen Netz über http://homematic-ccu2 erreichen kann – was natürlich in jedem normalen Netz nicht funktionieren wird. Im Gegenteil findige Werbetreibende haben die URL mit .com erweitert registriert und genau dort landet man mit gängigen Browsern auch da diese von einem Tippfehler ausgehen.
Nachdem man es also hinbekommen hat die IP Adresse des neuen Gerätes entweder über den eigenen Router oder die HomeMatic Windows Software herauszufinden, wird man von der Software begrüßt und gebeten ein Update durchzuführen (sehr sinnvoll). Die Startseite in welche man danach geleitet wird ist sehr übersichtlich und man findet sich recht schnell darauf zurecht.
Sicherheitsschlüssel ändern
Die wichtigen Dinge zuerst ;-). Über den Button Einstellungen –> Systemsteuerung erreicht man das Menü mit den wesentlichen Einstellungsmöglichkeiten der Software. Unter dem Punkt Sicherheit hat man hier auch die Möglichkeit den verwendeten AES Schlüssel von dem sonst verwendeten Standard (identisch auf allen Geräten und daher nicht empfehlenswert) abzuändern. Den neuen Schlüssel sollte man auf jeden fall an einem oder besser mehreren sicheren Orten aufbewahren! Man kann in dieser Maske zudem den SSH Server aktivieren und ein Backup erstellen (empfehlenswert nachdem man den Sicherheitsschlüssel geändert hat).
Zeitserver Ändern
Im Standard verwendet die CCU2 einen Zeitserver von Homematic. Da man damit für den Hersteller transparent macht, dass man seine Produkte verwendet etc. stelle ich diese Einstellung auf einen allgemeinen ntp server um. In der Systemsteuerung klickt man hierfür auf Zeit-/ Positionseinstellung und ändern den Wert des Zeitservers wie in meinem Beispiel ab:
CCU – Firewall
Die Adressbereiche die für den eingeschränkten Zugriff verwendet werden, werde nicht mit den vom DHCP Server erhaltenen Daten abgeglichen. Ich habe bei mir ein 10er Netz und die Freigaben waren für ein 192er class B eingerichtet. Man sollte diese Einstellungen somit auf sein eigenes Netz anpassen und speichern. Erreichen kann man diese über den Menüpunkt Firewall konfigurieren ebenfalls in der Systemsteuerung.
Allgemeine Einstellungen
Wer mit der CCU2 auch mit dem Preis pro kWh Strom oder Gas rechnen möchte, kann die dafür derzeit relevanten Kosten unter Allgemeine Einstellungen hinterlegen. Das ist ggf. hilfreich wenn man z. B. mit Hilfe der Schaltsteckdosen den Stromverbrauch des Trockners oder des Kühlschranks ermitteln möchte.
Gerät anlernen
Die Anlage wird natürlich erst durch die Angeschlossenen Geräte nützlich. Daher klicken wir im rechten oberen Eck auf den Button Geräte anlernen. Daraufhin öffnet sich folgendes Fenster und der Lernmodus ist für 60 Sekunden aktiv. Innerhalb dieser Zeit sollte man auf dem anzulernenden Gerät ebenfalls den entsprechenden Knopf betätigen. Für jedes erfolgreich angelernte Gerät sollte der Zähler unter Posteingang am Ende der 60 Sekunden entsprechend erhöht werden.
Klicken Sie auf den Posteingang und prüfen Sie ob alle gewünschten Geräte aufgeführt sind. Handelt es sich bei dem Gerät um einen Tausch eines bestehenden Gerätes, so können Sie dies über die Aktion im System hinterlegen. Um das Gerät verwenden zu können, müssen Sie den Button Fertig betätigen. Sie können auch bereits in dieser Ansicht anfangen ihre Geräte in Gruppen zusammen zu fassen z. B. Kinderzimmer.
Oft gewünscht – bei MySQL vorhanden: Das mach mich sicher Skript! Um einen MySQL server im ersten Schritt abzusichern gibt man als root folgenden Befehl ein:
1
mysql_secure_installation
Danach folgen eine Handvoll Fragen die natürlich mit dem MySQL-root-Benutzer anfangen:
Hat man die Fragen alle richtig beantwortet, so sind die Testdaten und Zugänge aus dem System entfernt, der root Benutzer abgesichert und die entsprechenden Privilegien richtig gesetzt. Zusätzlich empfehle ich den Datenbankport nicht auf der Firewall freizuschalten damit ganz sicher keiner von außen auf das System kommt. Wie man das mit Hilfe von iptables macht erkläre ich hier.
