Bedya una APP de control y gestión a traves de Telegram

03 Jun 2017, 19:41

Buenas tardes si algún moderador cree no deba publicar esto aqui que me perdone y lo borre pero quería compartir con todos vosotros está App que a mi criterio es bastante buena y util para control y administrar nuestras Raspberrys desde cualquier lugar a traves de Telegram.

Se llama Bedya y os dejo el enlace por si la quereis echar un vistazo: https://www.bedya.es/

Es totalmente gratuita y tiene las funciones básicas que podemos necesitar los que las usamos como servidores y tenemos que gestionar varios servicios, en definitiva tiene funciones bastante útiles para los administradores de sistemas.
Como por ejemplo saber el estado de los servicios, iniciarles, detenerles, saber el consumo de RAM y espacio del disco duro, nos permite saber el direcionamiento IP para que en caso de que la tengamos configurada en modo DHCP sepamos su ip aunque esta cambie...

¿Qué opinais vosotros de esta APP?
¿Qué funciones para la administracion del sistema añadiriais?

Espero que os pueda ser tan util como a mi

03 Jun 2017, 23:49

Muy buenas noches Rafa, ¿por casualidad no serás tu el creador?

Si es así enhorabuena, la probaré esta misma noche y te daré mis impresiones

Lo veo bastante bien detallado y completo, la función que añadiría es poder actualizar los repositorios desde la misma app así mismo por ahora no se me ocurre nada importante.

Muchas gracias por la APP, un saludo!

04 Jun 2017, 09:50

Si, está claro que Rafa es el creador :-)
Hay algo que no me convence, y es tener que publicar el token de mi bot en el bot de bedya.
Sabiendo que con ese mismo token tengo un softwre corriendo en mi servidor, es bastante preocupante para mi el hecho de ceder ese token a un tercero desconocido, como es bedya.
La idea del proyecto es buena, muy buena, pero estos aspectos de seguridad deberían estar resueltos desde el principio, cuando estamos hablando de autorizaciones plenas a terceros.

04 Jun 2017, 15:03

Como dice Egrueda, esta claro que soy el creador jajaja

Y lo de confiar en nosotros el token no me parece que sea ningún problema, a continuación te dejo algunas de las razones.

Hay muchas aplicaciones que generan bots por ti y tienes que confiar tu token en ellos ya que no es nada peligroso

Sabiendo solo el token de un bot no puedes tener el control ya que necesitas del app de telegram que hace de enlace y desde telegram lo que necesitas es el nombre de este y no su token para poder controlarle

En Bedya el nombre que solicitamos es uno que sea identificativo para ti, no tiene porque ser el real.

Bedya con cada orden de control que recibe hace una comprobación de si el usuario que le ha enviado esa orden esta dado de alta como administrador, en caso de no ser así rechazara dicha orden

A mayores tenemos integración con Latch para una mayor seguridad

Espero que te haya convencido

Si tienes más ideas para la seguridad estoy dispuesto a escucharlas y os animo a probar la aplicación.

Kike, lo de poder actualizar los repositorios me parece una buena idea y lo tendré en cuenta para implementarlo en futuras versiones.

04 Jun 2017, 16:37

Hola, Rafa.
No se trata de que intentes convencerme de los motivos, es que sencillamente yo no estoy de acuerdo con esa "seguridad". Lamento que hayas tomado a mal mi crítica.

Rafa93M escribió:Hay muchas aplicaciones que generan bots por ti y tienes que confiar tu token en ellos ya que no es nada peligroso

Existen muchas aplicaciones inseguras, esta afirmación no me dice nada.

Rafa93M escribió:Sabiendo solo el token de un bot no puedes tener el control ya que necesitas del app de telegram que hace de enlace y desde telegram lo que necesitas es el nombre de este y no su token para poder controlarle

Si tengo un bot instalado en un servidor que acepta comandos externos y tú tienes el token de mi bot, no hay nada que impida que tú envíes comandos al software instalado en mi servidor.

Rafa93M escribió:Bedya con cada orden de control que recibe hace una comprobación de si el usuario que le ha enviado esa orden esta dado de alta como administrador, en caso de no ser así rechazara dicha orden

Ocurre lo mismo, tú tienes ese usuario, esa contraseña y el token, ¡no me necesitas para enviar comandos a mi servidor!

Rafa93M escribió:A mayores tenemos integración con Latch para una mayor seguridad

Jeje, eso generalmente se usa "después" de que haya pasado algo. Cuando hayan hackeado vuestra base de datos y hayan conseguido user, pass y token de mis servidores, ya será tarde para mi.

Rafa93M escribió:Espero que te haya convencido

Insisto, no se trata de convencerme, son los hechos en sí los que crean un escenario de falta de seguridad y cesión a terceros. En todo caso, espero haberte convencido yo para que te replantees el eqsquema de funcionamiento y puedas ver que existe un POF en manos de un tercero, fuera de mi alcance, que compromete mi seguridad.

Rafa93M escribió:Si tienes más ideas para la seguridad estoy dispuesto a escucharlas y os animo a probar la aplicación.

Mientras tú (o un tercero) tengas el control completo de la aplicación que corre en mi servidor, me temo que no será posible :-(

Muchas gracias por tus explicaciones.
Para terminar, insisto en mi postura: si en un sistema de dos partes (mi servidor y yo) tenemos que usar a un intermediario (innecesario, la verdad) y tenemos que ceder los datos a ese tercero, entonces objetivamente esxiste un problema de seguridad, como siempre que un tercero desconocido puede ejecutar comandos en mi servidor.
Insisto en que la idea es buena, pero incluir terceras partes no lo es, no es necesario y es muy peligroso.

Un saludo.

04 Jun 2017, 17:35

Hola Egrueda.
No me ha sentado mal tu critica, ni mucho menos. Todo lo contrario, me gusta saber la opinión de los demás y me lo he tomado como algo constructivo y que debo mejorar.

Sin embargo me gustaría hacer un inciso en un punto de algo que dices:

Ocurre lo mismo, tú tienes ese usuario, esa contraseña y el token, ¡no me necesitas para enviar comandos a mi servidor!

Puede que me haya explicado mal en algún punto o no te haya entendido bien pero me gustaría aclarar que desde Bedya solo se generan las configuraciones, no se tiene el control ni se envían comandos a los bots, eso es algo que siempre he querido evitar porque como tu muy bien dices, en caso de que nos hackearan el servidor se tendría acceso a un montón de equipos .
Por eso las ordenes solo se pueden enviar desde la app de Telegram y para tener acceso a tu servidor ya tendrían que hackear varias cosas (nuestro servidor para saber tu token, y los de Telegram), esta claro que no hay nada imposible.

Hasta ahora con lo que se (que no se todo ni mucho menos) con solo el token de un bot no se puede establecer una comunicación, de echo me atrevería a darte tokens de mis bots y "creo" que no podrías hacer mucho, igual me estoy equivocando. Si me equivoco me gustaría saber como se realiza para replantearme muchas cosas.

Yo, igual que tu me replantearía instalar algo en mis servidores que no es seguro o puede llegar a otorgar acceso a terceros por eso he intentado mostrarte mis puntos de vista de porque Bedya es seguro, o por lo menos a mi parecer (esta claro que siempre hay que mejorar cosas).

De todas formas gracias por tus opiniones pensare en otro modo de trabajo para gente que no nos quiera confiar su token.

Un saludo.

05 Jun 2017, 18:33

Perdona, Rafa, no me había llegado la notificación de tu respuesta.
A ver si es que yo lo he entendido mal y de ahí viene todo el lío. Voy paso por paso:
1. Creo una cuenta de usuario en bedya, con mi ID de Telegram y una contraseña
2. Accedo con ese usuario y contraseña en beyda vía web
3. Introduzco el nombre y el token de mi bot

En este momento, en la base de datos de beyda está almacenado el token de mi bot, que sirve para comunicarse con el software instalado en mi servidor.
Entonces, si yo me comunico directamente, vía Telegram, con el software Beyda instalado en mi servidor (mi raspi, en este caso), ¿para qué tengo que entregar el token de mi bot en el sitio web de Bedya.es? ¿Para qué usa Bedya ese token?
¿Mi comunicación con mi bot pasa por Bedya (yo => telegram => Bedya => raspi)?
¿O Bedya no interfiere la comunicación (yo => telegram => raspi)?
Y si es el segundo caso, entonces volvemos a la pregunta: ¿para qué almacenáis el token en vuestra aplicación web?

A ver si así me entero :-)

05 Jun 2017, 20:17

Hola Eugreda,

La comunicación para el control es: Tu -> Telegram -> Raspberry por lo que no interferimos para nada.
La comunicación para solicitar los cambios de configuraciones es: Raspberry -> Bedya

El token solo lo usamos para identificar a los bots en el sistema y generar las configuraciones para cada uno, de esta forma sabemos al configuración que pertenece a cada bot.

Ahora me dirás, pues podias haber generado un identificador unico para cada configuración y de esta forma no os tenemos que facilitar nuestro token.
Ahi estoy de acuerdo contigo y lo voy a dar una vuelta, la razón por la que elegimos los tokens era porque ya teniamos un identificador unico para cada configuración y no lo veiamos peligroso ya que yo aunque tenga tu token no te puedo enviar comandos de ninguna forma para controlarlo.

No se si te he aclarado tus dudas espero que si

05 Jun 2017, 23:49

Rafa93M escribió:Ahora me dirás, pues podias haber generado un identificador unico para cada configuración y de esta forma no os tenemos que facilitar nuestro token.

Perfecto, hemos llegado los dos al mismo punto :-)
Bien visto, buena conclusión, me parece una buena idea. Perdona si soy demasiado paranoico, pero me formé en el "secure by design" xD
Gracias por escucharme y dedicarme tu tiempo ;-)