[DEMANDE] Sécurité et bonnes pratiques pour son installation HA

Hello tous le monde,

J’utilise Home Assistant depuis un peu plus d’un an. J’ai passé beaucoup de temps dans mes scripts et mes automatisations, mais beaucoup moins pour sécuriser mon installation ! :sweat_smile:

Je ne sais pas si le mieux est de faire un tuto sécurité ou simplement un post où tout le monde serait libre de partager ses bonnes pratiques.

Vous en pensez quoi ? :slight_smile:`

Ps: Merci de ne pas venir hacker mes ampoules et mon chauffage suite à cette annonce ! :grin:

Tout d’abord regarder cela: https://www.youtube.com/watch?v=0kzjqBacF1k
Pour éviter cela, il ne vaut mieux pas ouvrir un accès direct vers HA. Même sur un port exotique, même en HTTPS.
Pour quand même avoir accès à distance à son environnement HA, la solution (beaucoup) plus sécurisée mais (beaucoup) plus compliquée c’est de n’autoriser vers chez toi qu’un connexion à partir d’un VPN vers un boitier type opnsense.

Mais, bon, ce n’est pas simple comme solution.

Donc, sans aller jusque là:

1 J'aime

J’aime beaucoup la référence YouTube.

Il y a aussi la solution Nabu Casa. Rien à paramétrer ca marche et tu as un accès à tout ton HA depuis l’extérieur. Et au passage tu soutiens ce projet open source qui va être au coeur de ton confort à la maison.

Avis personnel:

Il y a d’autre standard un peu plus au goût du jour aujourd’hui:

  • Une phrase de passe avec espace ou tiret. Bien plus facile à mémoriser et tout aussi efficace si la longueur est bien choisie.
  • Une double authentification
  • Un mot de passe compliqué défini par un l’algorithme d’un gestionnaire de mot de passe qui s’occupe de tout.
  • Une combinaison des trois
1 J'aime

Il y a aussi l’authentification multi-facteur ( https://www.home-assistant.io/docs/authentication/multi-factor-auth/ )

1 J'aime

@Lou_Juicy Effectivement très bon sujet et super intéressant ! Merci de l’aborder

Personnellement j’utilise essentiellement du HTTPS via les certificats fournis par Let’s Encrypt, qui redirigent sur mon reverse proxy (pour gérer le multi domaine), et au sein de mon réseau local je fais du HTTP.

Effectivement c’est la solution que j’ai retenu, j’utilise Keepass qui génère (avec la complexité voulue) les mots de passe et les stocke. Pour ne pas les perdre, je fais une sauvegarde du fichier de mots de passe que je synchronise ensuite avec mon cloud perso. (Car si je mon PC crame je perds tous mes mots de passe, et là c’est :poop:)

J’associe à tout cela, une double authentification sur HA via code OTP sur mon mobile.

Voilou ce que j’utilise personnellement, je suis aussi preneur de vos solutions.

PS: Il ne fait aussi pas ouvrir son port SSH sur le web si l’on veut accéder à son HA. Il vaut mieux passer par un VPN local pour ensuite accéder en ssh directement à son HA ou via un rebond ssh.

1 J'aime
  • Pour le moment mon installation n’est pas ouverte à l’extérieur.
  • Je suis en http en local.
  • J’utilise le service de Nabu Casa pour accéder à mon Home Assistant depuis l’extérieur
  • Tous les mots de passes de la familles sont gérés par 1Password
  • Et double authentification pour mon compte Home Assistant.
2 J'aime

Je suis en train de tester le service via l’addon ZeroTier.
Ca me permet de faire quelques accès depuis l’externe juste quand j’en ai besoin. Et très facile à configurer.

1 J'aime