Home Assistant ist eine leistungsstarke Plattform zur Steuerung deines Smart Homes. Doch wenn du den Remote Zugriff ermรถglichst, solltest du unbedingt Sicherheitsmaรnahmen ergreifen. Hacker und unbefugte Zugriffe kรถnnen erhebliche Probleme verursachen. In diesem Beitrag erfรคhrst du, wie du den Remote Zugriff von Home Assistant absichern kannst.
Inhaltsverzeichnis
Fรผr alle Lesefaulen gibt es das Ganze natรผrlich auch als YouTube-Video von mir ๐
Benutzerrechte einschrรคnken
Nicht jeder Benutzer in deinem Home Assistant-System benรถtigt volle Administratorrechte. Du solltest Rollen und Berechtigungen gezielt vergeben.
- Lege separate Benutzerkonten an.
- Vergib eingeschrรคnkte Rechte fรผr nicht-administrative Nutzer.
- Aktiviere Gรคstekonten nur bei Bedarf und entferne sie wieder, wenn sie nicht mehr gebraucht werden.
Je weniger Personen Zugriff auf kritische Einstellungen haben, desto sicherer ist dein System.
Du magst Home Assistant? Dann abonniere kostenlos meine Beitrรคge mit Tipps, Tricks und Anleitungen rund um Home Assistant:
Garantiert kein Spam, keine Werbung und immer mit Abmelde-Link, solltest du es dir anders รผberlegen!
Was es mit Benutzern und Personen in Home Assistant auf sich hat, habe ich in dem folgenden Beitrag ausfรผhrlich erklรคrt:
Starke Passwรถrter nutzen
Ein starkes Passwort ist der erste Schutz gegen unbefugte Zugriffe. Verwende:
- Mindestens 12 Zeichen (bzw. je lรคnger, desto besser ;))
- Eine Kombination aus Groร- und Kleinbuchstaben, Zahlen und Sonderzeichen
- Keine leicht erratbaren Begriffe wie „HomeAssistant123“
- Unterschiedliche Passwรถrter fรผr verschiedene Dienste
Ein Passwort-Manager hilft dir, sichere Passwรถrter zu generieren und zu verwalten.
Multi-Faktor-Authentifizierung (MFA) aktivieren
Zusรคtzlich zu einem starken Passwort solltest du die Multi-Faktor-Authentifizierung (MFA) aktivieren. Dies erhรถht die Sicherheit erheblich, indem ein zusรคtzlicher Code aus einer Authentifizierungs-App (wie Google Authenticator oder Authy) erforderlich wird.
So aktivierst du MFA in Home Assistant:
- Gehe in die Einstellungen unter „Benutzer“.
- Wรคhle deinen Benutzer aus.
- Aktiviere MFA und scanne den QR-Code mit einer Authenticator-App.
- Bestรคtige die Einrichtung mit dem generierten Code.
Ich persรถnlich nutze Aegis MFA auf Android als MFA-App.
HTTP-Ban nutzen
Home Assistant bietet eine Funktion namens HTTP-Ban, die automatisch IP-Adressen sperrt, nach zu vielen fehlgeschlagenen Login-Versuchen. So richtest du es ein:
Fรผge folgende Zeilen in deine configuration.yaml ein:
http: ip_ban_enabled: true login_attempts_threshold: 5
Speichere die Datei und starte Home Assistant neu.
Jetzt wird eine IP-Adresse nach fรผnf fehlgeschlagenen Login-Versuchen automatisch gesperrt.
Automatische Benachrichtigungen bei fehlerhaften Loginversuchen
Um frรผhzeitig auf unbefugte Zugriffe aufmerksam zu werden, solltest du dir Benachrichtigungen bei fehlgeschlagenen Loginversuchen schicken lassen.
Fรผge dies in deine automations.yaml ein bzw. erstelle eine Automation mit folgendem Inhalt:
alias: Failed Login Benachrichtigung
description: ""
triggers:
- update_type: added
trigger: persistent_notification
conditions:
- condition: template
value_template: >
{% set message = trigger.notification.message %} {{'Too many login
attempts' in message or
'invalid authentication' in message or 'login attempt' in message}}
actions:
- data:
title: |
{% set title = trigger.notification.title %} โ ๏ธ{{title}}โ ๏ธ
message: >
{% set message = trigger.notification.message %} {% set now =
now().strftime('%d %b: %X') %} {% if 'Too many login attempts' in
message %}
Login notification: {{now}}: {{message}}
{% elif 'invalid authentication' in message or 'login attempt' in
message %}
Login notification: {{now}}: {{message}}
Track offending ip on http://www.ip-tracker.org/locator/ip-lookup.php?ip={{message.split('from ')[1]}}
{% else %}
Login notification other: {{now}}: {{message}}
{% endif %}
action: notify.mobile_app_pixel_8_pro
Dadurch bekommst du eine Nachricht auf dein Smartphone, wenn jemand einen fehlerhaften Loginversuch macht.
URL geheim halten
Vermeide es, die URL deines Home Assistant-Servers in รถffentlichen Foren oder sozialen Medien zu teilen. Nutze stattdessen eine nicht leicht erratbare Subdomain oder dynamische DNS-Dienste mit individuellen Namen.
Updates zeitnah installieren
Regelmรครige Updates sind essenziell, um Sicherheitslรผcken zu schlieรen. Achte darauf, dass:
- Home Assistant auf dem neuesten Stand ist.
- Alle installierten Add-ons und Integrationen aktuell sind.
- Dein Betriebssystem (Raspberry Pi OS, Docker, etc.) regelmรครig aktualisiert wird (sofern kein Betrieb nativ auf dem Raspberry Pi).
Updates enthalten oft wichtige Sicherheitsfixes, die dich vor neuen Bedrohungen schรผtzen.
Fazit zur Absicherung des Remote Zugriff von Home Assistant
Die Absicherung des Remote-Zugriffs auf Home Assistant ist kein Hexenwerk, aber essentiell, um dein Smart Home zu schรผtzen. Indem du Benutzerrechte beschrรคnkst, starke Passwรถrter wรคhlst, MFA aktivierst, HTTP-Ban nutzt, Benachrichtigungen einrichtest, die URL geheim hรคltst und Updates installierst, kannst du dein System erheblich sicherer machen.
Setze diese Tipps um, und dein Home Assistant bleibt gegen unbefugte Zugriffe bestmรถglich geschรผtzt!
Produktempfehlungen
Danke fรผr die schnelle Antwort 👍ย
Kann es sein, dass bei der ‚automatischen Benachrichtigung‘ – neben anzupassendem notify-Ziel in der letzten Zeile – noch andere Parameter anzupassen / zu ergรคnzen sind?Nach Ersatz des YAML-Codes in einer neu angelegten Automatisierung und entsprechender Anpassung vom notify-Ziel kommt beim Ausfรผhren als Fehlermeldung
Fehler beim Ausfรผhren einer Aktion
Error rendering data template: UndefinedError: ‚trigger‘ is undefined
ย
Im UI der Automatisierung ist der Trigger ohne Benachrichtigungs-ID.
Ich hรคtte wenigstens eine – wenn auch falsche – Signalsierung in der App erwartet.
Irgendwelche Vorschlรคge oder Hinweise?
ย
P.S.: zum http-Bann: ist der letzte Satz ‚jetzt wird eine IP-Adresse nach fรผnf fehlgeschlagenen Login-Versuchen automatisch gesperrt‘ als permanente Sperre zu verstehen oder erfolgt nach einer Zeit x eine Entsperrung – wenn permanent: wie kรถnnte die Sperre wieder zurรผckgesetzt werden?
ย
@wobeco Nein, die Fehlermeldungย
sagt tatsรคchlich, was genau das Problem ist: da du die Automation manuell auslรถst, gibt es keinen regulรคren Trigger, so dass der Template-Code nicht funktionieren kann.ย
Rufe dein HA in einem Inkognito-Fenster vom Browser auf und nutze falsche Zugangsdaten, dann bekommst du die gewรผnschte Fehlermeldung per Push.
Der HTTP-Ban ist dauerhaft, auรer du lรถschst die gebannte IP aus der Datei ip_bans.yaml
ย