SSH von Openhab auf anderen Raspbian Pi

[filmgucker2]

Hallo mal wieder,

udo1toni hat einmal ein wunderbare Anleitung für einen Zugriff auf einen anderen Pi hier geschrieben. Die
ist schon als Favorit in meinem Browser gespeichert.
viewtopic.php?p=49753#p49753

Aber jetzt folgendes Problem: Auf dem zu steuernden Pi müssen ja die ssh Keys unter einem neuen user
angelegt werden.
Lt Anleitung wird der neue user wie folgt geschaffen:
sudo adduser -p openhab

Ging früher auch mal, aber jetzt kriege ich die Meldung:
Unknown option: p

Hat jemand (oder gar der Meister selbst?) einen kleinen Tipp für mich?

VG

[TorstenE]

Lass mal "-p" weg

[filmgucker2]

..muss ein user sein, der kein Passwort benötigt. Ohne p muss Passwort gegeben werden...

[udo1toni]

Ist ja schon eine Weile her... so aus dem Bauch raus tippe ich auf den Parameter --disabled-password, also

Code: Alles auswählen

sudo adduser --disabled-password openhab

[filmgucker2]

Danke, ich werde es mal versuchen, aber jetzt ,muss ich Fußball gucken, auch wenn es mal wieder
enttäuschend ist...Aber es kommt wieder dieses miese Gefühl. Warum ändern die das immer? Welchen
Sinn macht es programmtechnisch, diese Wörter zu ändern? Es ist zum Verzweifeln...Wie das Fußballspielen
der deutschen Nationalmannschaft...

[filmgucker2]

Dass es soooo enttäuschend mit dem Fußball wurde, war nicht abzusehen...Aber gehört hier ja
auch nicht hin. Ja die alte Bedienungsanleitung funktioniert so nicht mehr. Den user konnte ich
mit --disabled-password zwar anlegen (es war mittlerweile openhab3, ich wurde u.a. nach ZimmerNr etc
gefragt..., dann sudo su - openhab3 und ssh key-gen ging auch noch und dann waren die zwei Schlüsseldateien
im Verzeichnis von openhab3 auch da. Der nächste Schritt, kopieren einer Datei führte dann aber zu:

Code: Alles auswählen

 cp openhabid_rsa.pub .ssh/authorized_keys
cp: regul�re Datei '.ssh/authorized_keys' kann nicht angelegt werden: Datei oder Verzeichnis nicht gefunden

und die andere Datei auf den Openhabian Server kopieren funktionierte auch nicht...

Ich wage fast nicht zu fragen, aber trau mich trotzdem, Könntest Du, lieber udo1toni Deine o.a. Anleitung aktualisieren?
Ich würde so gern meinen anderen Pi mit Openhab ausschalten können...

Beste Grüße!

[udo1toni]

Ja, klar.
Wobei der User nicht mal unbedingt ohne Passwort angelegt werden muss, es ist halt so, dass man mit aktivem Passwort diesen User auch verwenden könnte, um sich "einfach so" am System anzumelden, egal ob nun lokal oder über ssh mit Klartextpasswort, eine Schlüsseldatei muss man zunächst kopieren...

Ich aktualisiere im anderen Thread (dauert aber ein bisschen)...

[filmgucker2]

...Ich habe nachgedacht (wenn noobs wie ich schon mal nachdenken , was kommt dabei raus?).
Es gibt doch schon einen user auf dem FremdPi: Ich.
Geht es nicht einfach, wenn ich mich über ein Skript auf dem mit Nutzernamen und Passwort einlogge
und den Befehl gebe? Wie würde es lauten?
Es müssten natürlich vorher diese Key-Dateien auf dem FremdPi gemacht und dann die eine Datei
auf meinen Openhabian kopiert werden (ins home Verzeichnis?). Wenn ich mit einem neuen Rechner
über Putty auf den FremdPi gehe, legt er mir automatisch diese Key-Dateien an. Ich muss mich um nichts kümmern...

[udo1toni]

Ja, aber nein.

Wenn ich mit einem neuen Rechner
über Putty auf den FremdPi gehe, legt er mir automatisch diese Key-Dateien an. Ich muss mich um nichts kümmern..

Nein, das was Du meinst, ist der Eintrag in der known-hosts Datei. Die Keys sind hingegen für die passwortlose Anmeldung. PuTTY legt solche Keys nicht automatisch an.

Anmeldung mit Passwort und Standarduser:
Grundsätzlich kannst Du machen, was Du willst. Du könntest mit dem Programm sshpass das Klartext Passwort im Script an ssh übergeben und so den Befehl absetzen.
Es ist aber schlechter Stil und ein großes Sicherheitsproblem, es gibt schon einen Grund, warum ssh keinen Parameter -p kennt, um das Passwort als Klartext innerhalb eines Scripts direkt zu übergeben

Dein normaler User auf dem FremdPi darf sicherlich sehr viel mehr, als nur einen Shutdown auszuführen (wobei - Du hast ja nicht erwähnt, welche Befehle Du konkret absetzen willst... trotzdem wäre ich da sehr vorsichtig).
GNU/Linux verwendet schon im Grundsystem ungefähr zwei Dutzend User, ohne dass irgendjemand auf dem System angemeldet ist die User sind Teil des Sicherheitskonzepts und man sollte das nach Möglichkeit auch so verwenden.

Das Anlegen des Users ohne Passwort ist ja auch nicht das Problem sondern eher, dass ich in der ursprünglichen Anleitung ein, zwei Dinge übersehen hatte - beispielsweise, dass das Verzeichnis .ssh nicht automatisch angelegt wird, wenn man einen User anlegt. Man muss dieses Verzeichnis also zuerst anlegen, bevor man eine Datei dorthin kopiert oder verschiebt.
Alle anderen Schritte werden so oder so gebraucht, egal, mit welchem User man sich identifiziert (wie gesagt - es sei denn, man verwendet Klartext Passworte, was ein No-Go sein sollte)

Was gerne schief geht, ist das scp (Secure Copy), da muss man sich einfach klar machen, dass die zu kopierende Datei hier von einem Rechner auf einen anderen kopiert wird. Es müssen also verschiedene Bedingungen erfüllt sein. Der Remote Rechner muss unter dem angegebenen Rechnernamen erreichbar sein, der User muss existieren und berechtigt sein, sich auf dem 2. System anzumelden, die Datei muss lokal vorhanden sein, remote muss das Zielverzeichnis vorhanden sein. Außerdem muss der Remote Rechner in der Liste der erlaubten Ziele mit den korrekten Daten eingetragen sein (known-hosts, der Fingerprint muss zu IP/Hostnamen passen, sonst verweigert scp das Login mit einem recht deutlichen Sicherheitsalarm - ist das der Fall, man weiß aber, dass alles korrekt ist, muss man die entsprechenden Einträge aus der known-hosts Datei entfernen lassen - Das Vorgehen wird in der Meldung erläutert)