Überblick
Kontinuierliche Sicherheitsprüfungen für deine Odoo-Dienste — erkennt Standardpasswörter, exponierte Datenbankmanager, fehlendes HTTPS und mehr.
hav.sh prüft jeden laufenden Odoo-Dienst kontinuierlich auf die häufigsten Produktions-Sicherheitsprobleme. Die Ergebnisse erscheinen auf dem Security-Tab jedes Dienstes, sortiert nach Schweregrad, damit du Probleme erkennst und behebst, bevor ein Angreifer sie findet.
#Was geprüft wird
Security Insights führt einen festen Katalog von Black-Box-Prüfungen gegen den öffentlichen Hostnamen jedes Odoo-Dienstes aus. Die Prüfungen decken drei Bereiche ab:
- Authentifizierung — Funktioniert das Standard-Login
admin / adminnoch? Kann eine ausgelesene Datenbankliste einen Angreifer auf einen bestimmten Tenant lenken? - Exponierte Endpunkte — Ist der Odoo-Datenbankmanager oder -Selektor aus dem Internet erreichbar? Leakt
/website/infodie Odoo-Version? - Transport-Sicherheit — Werden HTTP-Anfragen auf HTTPS umgeleitet? Ist der HSTS-Header gesetzt? Ist der Clickjacking-Schutz aktiv?
Die vollständige Liste findest du unter Sicherheitsprüfungen.
#Schweregrade
Jeder Prüfung wird einer von drei Schweregraden zugewiesen:
| Schweregrad | Bedeutung |
|---|---|
| Critical | Ein unmittelbares, ausnutzbares Risiko. So schnell wie möglich beheben. |
| Warning | Eine Härtungs-Empfehlung, die keine direkte Kompromittierung erlaubt, aber die Defense-in-Depth schwächt. |
| Info | Diagnose-Information — bestätigt zum Beispiel, dass die Login-Seite erreichbar ist. |
Der Security-Tab ist nach Schweregrad sortiert, kritische Funde stehen oben. Ein rotes Badge an der Security-Unter-Navigation zeigt, wie viele Prüfungen aktuell fehlschlagen.
#Wie Prüfungen laufen
- Prüfungen laufen automatisch nach Zeitplan für jeden laufenden Odoo-Dienst (ohne Previews und Kopien).
- Mit der Schaltfläche Prüfungen jetzt ausführen auf dem Security-Tab kannst du den Katalog jederzeit erneut starten. Ein Hintergrund-Job sondiert den Dienst und aktualisiert die Ergebnisse innerhalb weniger Sekunden.
- Jede Prüfung speichert HTTP-Status, Antwortzeit und Fehlerdetails, damit du genau siehst, was zurückgegeben wurde.
#Geltungsbereich
- Prüfungen werden pro Odoo-Dienst ausgeführt, anhand des Plattform-Hostnamens des Dienstes.
- Preview-Deployments und Offline-Kopien werden nicht sondiert — sie sind per Design nicht aus dem öffentlichen Internet erreichbar.
- Ergebnisse sind auf dein Team beschränkt. Es verlassen keine Daten deinen hav.sh-Tenant.
#Funde beheben
Der Security-Tab listet jeden Fund mit einer kurzen Erklärung, warum er fehlgeschlagen ist und welche Antwort beobachtet wurde. Die meisten Probleme sind Konfigurationsprobleme, die in der Konfiguration des Odoo-Dienstes behoben werden können:
- Standard-Admin-Passwort — Ändere das Admin-Passwort in der Odoo-Oberfläche.
- Datenbankmanager / -Selektor exponiert — Setze
list_db = Falsein der Odoo-Konfiguration und deploye den Dienst neu. - HTTPS nicht erzwungen / HSTS fehlt — Überprüfe, dass der Traefik-Reverse-Proxy und das Zertifikat für die Domain des Dienstes in Ordnung sind.
Klicke nach dem Beheben eines Problems auf Prüfungen jetzt ausführen, um zu bestätigen, dass der Fund verschwunden ist.
Security Insights ist ein Frühwarnsystem, kein Ersatz für ein vollständiges Audit. Es findet die häufigsten Produktions-Fehlkonfigurationen — kombiniere es mit regelmäßigen Backups, eingeschränktem SSH-Zugriff und Odoo-Enterprise-Updates für vollständige Abdeckung.