Alexey Skobkin

Тут кто-нибудь использует сетап Home Assistant в режиме HAOS?

Ну, то есть когда накатывается образ от Home Assistant на какую-то железку и она полностью менеджится им.

Из плюсов там поддержка этих их "apps", которые раньше были "add-ons".

Однако я бегло на неё посмотрел и она меня немного пугает.

Во-первых там установка достаточно туповатая - не раскатка через типичный инсталлер как у многих дистрибутиовов, а заливка образа на диск, а он уже потом сам расширяет разделы под доступное пространство.
Во-вторых шелл HASS торчащий прямо без аутентификации для любого кто подшёл к железке - бери тот же Rubber Ducky, втыкай и веселись с чьим-нибудь умнодомом.
В третьих так как оно само себя менеджит - как будто сложнее втащить туда какой-нибудь Nginx/Traefik, который для локальной сети будет отдавать как есть по HTTP, а в интернеты будет отдавать с HTTPS и дополнительной аутентификацией и/или вообще только через какой-нибудь ZeroTier/Tailscale.

Я чего-то не знаю/понимаю или оно в целом на такой режим использования где ни гибкости ни безопасности и рассчитано?

#HomeAssistant #question #help #security #log #management #OS #Linux #Docker #server #thoughts #SmartHome #IoT

Apr 5 at 4:31pmWeb
Show threadAlexey Skobkin4h ago

В общем как будто мне по всем фронтам будет лучше унести HA на другую машину в том же режиме, в котором он работает сейчас:

  • Перенос будет проще - можно даже не делать бэкап и его восстановление, а просто перенести данные
  • Гибкость выше
  • За безопасностью следить проще
  • Мониторить проще

Из минусов - кажется, только лишь отсутствие apps, которое меня и раньше-то не очень смущало. Тем более что эти apps нередко сконфигурированы не так, как мне бы хотелось. Да и часть обвязки всё равно останется на другой машине потому что для ускорения нужна видеокарта.

Show threadD:\side\>4h ago

> Тем более что эти apps нередко сконфигурированы не так, как мне бы хотелось.

@skobkin а ещё иногда им конфигурацию меняют. Был большой скандал, когда аддон Nginx Proxy Manager переконфигурили в использование встроенного SQLite вместо MariaDB из другого аддона.

Данные?

Какие данные?

Особенно весело было тем, у кого обновления были автоматическими. У них однажды реверс-прокся просто перестала проксировать всё, что было настроено вручную.

У меня, к счастью, ничего не сломалось, потому что я апгрейдился осторожно и руками, но где-то в то время я и решил, что пора от этого избавляться.

Они вроде тогда приняли меры и внедрили маркировку апгрейдов с запретом обновляться автоматически, но криков было много.

Show threadOstap Bender1d ago
@skobkin ну я пользую, но держу на виртуалке и торчать голой жопой в интернеты не выпускаю, поэтому с твоими проблемами никак помочь не могу)
Show threadAlexey Skobkin1d ago

@ostapkobender
Ну у меня сейчас HA бегает в контейнерах на сервере. Но я хочу его вынести на отдельную железку чтобы когда я обслуживаю сервер свет в туалете всё ещё работал.

Для этого взял мини-ПК на N150.

Но я начал тыкать HAOS и мне пока не то чтобы очень нравится то, что я вижу.

Я, как ты понимаешь, как раз голой жопой в интернеты его не хочу выпускать. А с HAOS делать не голую жопу как будто не очень удобно. Либо я чего-то не понял.

Show threadOstap Bender1d ago
@skobkin HAOS сам себе контейнеры держит, как я понимаю, на том же докере.
Кароч, я бы на твоём месте накатил да поковырял бы его на этой вот свободной железяке, если времени не жаль.
Show threadAlexey Skobkin1d ago

@ostapkobender
Да, держит. И в них Apps и поднимаются.

Я и накатил. Но вот как раз пока не выделял много времени, а поверхностный взгляд не очень впечатлил.

Show threadD:\side\>1d ago

@skobkin я пару лет держал наглухо проклятый гибрид из Manjaro и Home Assistant Supervised (ныне не поддерживаемый, по сути компоненты HAOS отдельно от дистра), который почти всё своё время существования жаловался, что в системе есть незнакомые ему контейнеры и что работает он на неподдерживаемом дистрибутиве.

Но оно исправно работало.

Для меня это выглядит как новичковый вариант, где да, предполагается, что пользователю гибкость не нужна, а безопасность защитит даже от [больных] желаний обладателя.

Система аддонов была прикольной тем, что превращала Home Assistant в ещё и систему менеджмента сервера, с аппстором для приложений и стандартными бэкапами, но вечно производила впечатление, будто она вообще не для этого, по сравнению с условным YunoHost.
Rhasspy я в ней погонял.
Но теперь я разобрался достаточно, чтобы софт из нужных мне аддонов мочь поставить самостоятельно просто контейнерами. И когда у этого гибрида скончалось железо, я заменил ОС на дебиан с докером и бед не знаю.

Show threadAlexey Skobkin1d ago

@dside
У меня уже HA и куча обвязки к нему вроде whisper, piper, etc бегает в докере поднятое не им.
Но я хочу для надёжности вынести HA на отдельную машину.

И вот пытаюсь понять хорошая ли идея при этом ставить туда HAOS или лучше и дальше самому менеджить для гибкости.

Show threadD:\side\>1d ago

@skobkin может и ничего, если ты готов писать аддоны для всего, для чего их нет, а хочешь воткнуть на ту же тачку. Потому что идейно HAOS ожидает, что докер хоста принадлежит ему целиком. И хотя обычно это проявляется только в жалобах, что в докере незнакомые ему контейнеры, "неподдерживаемость" такой конфигурации это моральное право для разработчиков её сломать без предупреждения.

И в целом по-моему HAOS не про гибкость. Он про лёгкий старт.

Show threadFatal Error1d ago
@skobkin я уже несколько лет держу haOS на малине 4, полёт нормальный. мигрировал на ССД встроенными средствами, бекап-рестор, реверз прокси тоже аппом, тейлскейл работает. Даже какие-то свои аддоны собирал
Show threadAlexey Skobkin1d ago
@fatal_error А что с безопасностью шелла, который постоянно активен если подключить клавиатуру и монитор?
Show threadFatal Error1d ago
@skobkin в мой threat model это не входит, от физического доступа не пытаюсь защититься. Но как буду дома - подключу монитор.