wieder ein Problem

[Snatsch]

Habe heute ein Schlüsselpaar auf meinem Windows Pc erstellt zum Pi5, damit ich wenn ich mich mir Visual Studio Code verbinde nicht immer mein Passwort eingeben muss. Jetzt habe ich das Problem, das wenn ich in Putty den Befehl " reboot" eingebe, mein Pi nicht mehr neu startet. Wenn ich den Netzstecker ziehe fährt er ganz normal wieder hoch. Jemand ne Ahnung warum ?

[EmptySoft]

Fährt er runter, oder macht er gar nichts, kommt er nicht hoch? Schon einmal einen Monitor am RaspBerry angeschlossen und auf den Output geschaut?

[udo1toni]

Was meinst Du genau mit "nicht mehr neu starten"? reboot alleine darf überhaupt nicht funktionieren, wenn, dann müsstest Du sudo reboot ausführen lassen.
Wie hast Du das Schlüsselpaar erstellt? Für welchen User hast Du das Schlüsselpaar erzeugt? Ist das Dein erstes Schlüsselpaar?

"Mein" openHAB Aufbau sieht hier so aus:

1. Aufsetzen der Maschine, dabei Zuweisung des (vorhandenen) Pubic Key für root. Das geht inzwischen eigentlich bei allen Systemen im Rahmen der Installation, z.B. beim Pi Imager mit Raspberry Pi OS über die Image Konfiguration - allerdings nicht für root, sondern nur für den Hauptuser. Ich setze die Maschine ja unter Proxmox als LXC auf, da ist das ein Standard Parameter.
2. Nach dem Aufsetzen ermitteln der aktuellen IP-Adresse (bei mir per DHCP, also im Router nachschauen)
3. root Verbindung über PuTTY (der Private Key ist über pageant bereits freigeschaltet)
4. apt update && apt -y full-upgrade && apt -y install htop sudo && reboot; erneutes Login
5. dpkg-reconfigure locales, dpkg-reconfigure tzdata, adduser <meinhauptuser>, adduser <meinhauptuser> sudo
6. logout, übertragen des Public Key für meinhauptuser per ssh-copy-id von einem anderen GNU/Linux System - alternativ ginge das aber auch unter dem root User per scp "zu Fuß". Unter Windows fehlt ssh-copy-id meines Wissens (noch)
7. openHAB aufsetzen
8. Konto des Users openhab aufbohren (In /etc/passwd Standard Shell von /bin/false auf /bin/bash ändern)
9. Public Key für den User openhab unter /var/lib/openhab/.ssh/authorized_keys hinterlegen.
10. Außerdem einen eigenen User für Karaf anlegen (ausschließlich in /var/lib/openhab/etc/keys.properties, leider momentan nur mit RSA Public Key möglich) und in /var/lib/openhab/etc/org.apache.karaf.shell.cfg den Wert org.apache.karaf.shell:sshHost = 0.0.0.0 setzen. Unter /var/lib/openhab/etc/user.properties den Karaf User openhab mit einem starken Passwort versehen oder alternativ komplett entfernen (Login in die Karaf Konsole ausschließlich mit Schlüssel, dafür aber auch remote möglich)
Ein Reboot des Systems ist nur mit dem User root (ohne sudo) oder dem Hauptuser (mit sudo ) möglich.
11. in VS Code die ssh-Konfiguration für die openHAB Installation hinterlegen (Kurzname, IP, Private Key)
12. Initiale Verbindung über VS Code Remote Plugin, dabei erzeugt VS Code auf der Remote Maschine eine "headless" Installation von VS Code.

Der Private Key für den User openhab kann wahlweise ohne Passwort erzeugt werden oder man richtet den ssh-agent unter Windows ein, so dass auch hier die Eingabe des Passworts nur einmalig ausgeführt werden muss.

Da ich die Karaf Konsole remote erreichen kann, habe ich dafür eine passende Konfiguration in PuTTY eingerichtet. Ich nutze deshalb nicht den Remote "lokalen" Zugriff über das VS Code Terminal. der User openhab ist nicht Mitglied der Gruppe sudo und ist auch nicht in sudoers hinterlegt, d.h. dieser User kann kein reboot ausführen.

[Snatsch]

Guten Morgen
Bin auf dem Pi5 als root angemeldet deshalb ging es immer ohne " sudo " Ich habe das Schlüsselbar auf meinem Windows Pc erstellt und auf den Pi kopiert. Ich kann mich auch Passwortfrei z.B mit Vscode oder WinSCP zu meinen Pi verbinden.


Hab jetzt mal einen Monitor angeschlossen und mit "sudo reboot" den Pi neu gestartet. Es kommen keinerlei Fehlermeldungen und er ist auch ordentlich hoch gefahren. Danach nochmal mit "reboot" und es funktionierte auch wieder und es kamen keine Fehlermeldungen. Keine Ahnung was das gestern wieder war.

[udo1toni]

Bin auf dem Pi5 als root angemeldet

Für die Ersteinrichtung ist das natürlich sinnvoll, man sollte für die tägliche Arbeit aber unbedingt ein normales Konto verwenden.
Du kannst aus einem normalen Konto heraus jederzeit per su - (und Eingabe des root Passworts) den Kontext auf root wechseln, besser für die tägliche Administration ist natürlich sudo.
Der User, der sudo Berechtigung erhalten soll, sollte am besten in die User Gruppe sudo aufgenommen werden.
sudo muss natürlich installiert sein.
Der User openhab sollte keinesfalls Mitglied der Gruppe sudo sein. aus Gründen...
Es kann aber sinnvoll sein, dem User openhab einzelne Befehle im sudo-Kontext zu erlauben, das macht man dann aber am besten über die sudoers (mit visudo bearbeiten!), so kann man für diese Befehle auch die Nachfrage nach einem Passwort abschalten.

Da Du ja docker verwendest, sollte der normale Administrationsuser auch der Gruppe docker angehören, dann darfst Du alle relevanten docker-Befehle ohne Eingabe von sudo verwenden.

[Snatsch]

Das Thema hatte wir vor langer Zeit schon einmal doch bin ich dann immer wieder auf Berechtigungsprobleme gestoßen

[udo1toni]

Das Thema hatte wir vor langer Zeit schon einmal doch bin ich dann immer wieder auf Berechtigungsprobleme gestoßen

Unter GNU/Linux gibt es keine Berechtigungsprobleme Allenfalls gibt es Situationen, bei denen man vergisst, seine Berechtigungen passend auszuweiten.

Unter Windows ist das ganz ähnlich, auch in Windows 11 - fast 25 Jahre, nachdem selbst Microsoft erkannt hat, dass es eine dumme Idee ist, jeden Anwender stets mit Administrationsrechten werkeln zu lassen - gibt es immer noch die Mär, dass es für diese und jene Software unbedingt Administrationsrechte brauche. Dabei gibt es nur sehr wenige Fälle, wo sich das nicht vermeiden lasst (meist sind das Systemadministrationswerkzeuge).

Im Fall von openHAB kann ich Dir versichern, dass es für den normalen Betrieb keine erweiterten Rechte braucht, genauso wenig wie für die Remote Konfiguration per VS Code. Wichtig ist aber, dass man mit dem richtigen User arbeitet, bei VS Code wäre das der User openhab, weil dem nun mal die Dateien und Ordner gehören. Wenn man Zugriff auf bestimmte Hardware haben möchte (z.B. bestimmte USB-Sticks), dann muss man eben den User openHAB in die entsprechende Gruppe packen, welche die Berechtigung hat.
Rechteverwaltung ist etwas, was die meisten Anwender Dank Microsoft nicht kennen, deshalb stoßen sie auch immer wieder auf "Probleme", die sich aber gerade unter GNU/Linux in aller Regel sehr leicht lösen lassen.
Der Zugriff mittels root ist nur Bequemlichkeit, böse formuliert könnte ich sagen, dass Du nur zu faul bist, es richtig umzusetzen aber vor allem musst Du Dir im Klaren sein, dass Du damit ein großes Risiko schaffst, und damit meine ich nicht nur Hackerangriffe (das wäre eher ein theoretisches Problem, solange der Rechner nicht extern erreichbar ist), sondern vor allem das "Ups...!".
So schnell hat man aus Versehen eine Datei gelöscht oder verändert, bei der man das besser unterlassen hätte. Der Zwang, seine Rechte gezielt auszuweiten, zwingt auch immer wieder dazu, noch mal darüber nachzudenken, ob das, was man da gerade zu tun gewillt ist, auch wirklich das ist, was man tun sollte...

[Snatsch]

Der Zugriff mittels root ist nur Bequemlichkeit, böse formuliert könnte ich sagen, dass Du nur zu faul bist, es richtig umzusetzen aber vor allem musst Du Dir im Klaren sein, dass Du damit ein großes Risiko schaffst, und damit meine ich nicht nur Hackerangriffe (das wäre eher ein theoretisches Problem, solange der Rechner nicht extern erreichbar ist), sondern vor allem das "Ups...!".

da muss ich dir wie so oft recht geben