【RaspberryPi】インストールしたNode-REDのFlowEditorにパスワード設定

今回もRaspberryPiNode-REDを触っていこうかないう感じですが、最初の熱が冷めるまえにどこまで行けるか、そこが勝負な感じ。

【関連する過去エントリー】

RaspberryPi2にNode-REDをインストールして使ってみる - uepon日々の備忘録

【RaspberryPi】Node-REDで簡単なWebサービスを作ってみる - uepon日々の備忘録

そんなところなんですが、前回のエントリーをアップしたところ、Facebookで以下のようなコメントをいただきました。

ご参考: Raspberry PiにおけるNode-REDの活用について https://qiita.com/utaani/items/7155c62d6c5e96822afb
ローカルであっても、FlowEditorにはパスワード設定を付けた方がいいです...

ローカルだしいいやって思ってたんですが、やっぱりそれぐらいのセキュリティは必要ですよね。ご尤もです。

教えていただいたURLは非常に有用な情報ばかりなのでNode-REDを使用する方はぜひ見てください。

そのなかで今回のセキュリティに関するのは以下の部分になります。

https://qiita.com/utaani/items/7155c62d6c5e96822afb#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E8%A8%AD%E5%AE%9A

標準インストールしただけでは、IPアドレスがわかるとだれでもFlow Editorにアクセスできます。前述したようにRaspbianではpiユーザが管理者権限をもちますので、Flow Editorからexecノードを使われてしまうと管理者権限でRaspberry Piの全操作が可能になってしまいます。まったくインターネットからアクセスできないRaspberry Piでも、最低でもログイン画面設定は実施するようにしましょう。

ですよねー。ってことで設定を追加しましょう!

Node-REDのFlowEditorにパスワード設定を行う

参考通りに進めていくと/home/pi/.node-redにあるsettings.jsのファイルにあるadminAuth:の部分を検索してコメントアウト//を外して)、 passwordエントリーの値を編集することになるようです。ここで値になるのはパスワードをハッシュ値をいれることになるので、平文をいれてもダメなようです。

ハッシュ値を出力するにはbcryptjsというパッケージを使用すればよいようです。

www.npmjs.com

settings.jsの内容を確認して、編集する

では、settings.jsがあるか確認してみます。

f:id:ueponx:20190907082014p:plain

ちゃんとありました…当たり前ですが。では該当の部分を編集していきます。最近はRaspberryPiのファイル編集するときにはVisual Studio Code拡張機能である SSH FSを使用しています。

f:id:ueponx:20190907072826p:plain

SSH FSの設定に関してはからあげさんの以下のエントリーが参考になります。

karaage.hatenadiary.jp

では改めて、settings.jsファイルの内容を確認してみます。

f:id:ueponx:20190907072543p:plain

該当部分を拡大するとこの様になっています。下図中のマウスで反転している部分が該当部分です、この部分のコメント状態を外します。

f:id:ueponx:20190907074737p:plain

非コメント化するとこんな感じになります。

f:id:ueponx:20190907074825p:plain

続いてpasswordの値を削除します。(ちなみにusernameの値がadminがなっています。ログインユーザーネームを変更したい場合にはこの部分も変更しましょう)

f:id:ueponx:20190907074923p:plain

この削除した部分に、新しく設定したパスワードのハッシュ値をコピー&ペーストを行っていきます。 ハッシュ値の生成は以下のコマンドで行います。はじめにディレクトリを変更しているのはそのまま2行目の実行を行うとbcryptjsの読み込みが行えないためです。 Node.jsのコマンドの-eスイッチは引数で与えた文字列をそのまま実行する機能になります。以下の例ではhogefugaという文字列のハッシュ値をコンソール上に出力するものになります。

$ cd /usr/lib/node_modules/node-red
$ node -e "console.log(require('bcryptjs').hashSync(process.argv[1], 8));" hogefuga

f:id:ueponx:20190907080224p:plain

参考によると

ハッシュ文字列は実行毎に異なる文字列で、$で始まりスラッシュやドットを含む60文字になりますので、間違いないようコピーペーストします。

とのことなので、あらためてハッシュ値を作成してコピー&ペーストします。

以下のように生成しましょう!

$ cd /usr/lib/node_modules/node-red
$ node -e "console.log(require('bcryptjs').hashSync(process.argv[1], 8));" 【自分で決めたパスワードの平文】

f:id:ueponx:20190907081053p:plain

ペーストするとこんな感じになるので、ファイルを保存します。(画像は見にくくなっていますが、password部分をマスクしています。)

ここまできたら、Node-REDの起動(node-redコマンドやnode-red-startコマンド)または再起動(node-red-restartコマンド)を行います。

f:id:ueponx:20190907081336p:plain

無事に起動しました。ちょっと起動時のメッセージが今までとは違うような… そのあと、WEBブラウザでNode-REDへアクセスを行うと、ログインの画面が表示されます。

f:id:ueponx:20190907081549p:plain

ユーザー名とパスワードを入力すると…

f:id:ueponx:20190907081727p:plain

無事にログインできました!

f:id:ueponx:20190907081743p:plain

おわりに

これで、ローカル環境でもFlowEditorにはパスワード設定をして少しセキュアにすることができました。 実は設定のテキストファイルを触るのが面倒だなと思っていましたが、わかりやすいドキュメントがあって助かりますね。 セキュリティに関してはちゃんとやりましょう!

あんまり、内容がなかった…次こそは。

【Node-RED 関連エントリ-】

uepon.hatenadiary.com

uepon.hatenadiary.com

uepon.hatenadiary.com

uepon.hatenadiary.com

uepon.hatenadiary.com

uepon.hatenadiary.com

uepon.hatenadiary.com