Raspberry OS lite Image for/with ioBroker
-
-
@andre
Das heißt der iobroker hat da ein login?
Eigentlich sollte der als Systemuser NOLOGIN haben.echad:x:1002:1002:Thomas Braun,,,:/home/echad:/bin/bash iobroker:x:1001:1001::/home/iobroker:/usr/sbin/nologin pi:x:1000:1000:,,,:/home/pi:/bin/bashLeg doch einen regulären 'ioadmin' (uid1002/gid1002) (mit sudo-Gruppenzugehörigkeit) oder so ähnlich an, dann kann der iobroker wie in allen anderen Setups als Systemuser fungieren.
Übrigens sollte es aus historischen Gründen immer auch einen pi (uid1000/gid1000) geben. Es gibt einige Situationen wo die Existenz dieses users vorausgesetzt wird.
-
@thomas-braun Aktuell gibt es nur einen User. Da ich kein Raspberry Pi Anwender bin (also zumindest nicht mit Raspberry OS) habe ich mir da keine großen Gedanken gemacht.
Wenn man allerdings den Pi User drin lassen soll ist m. E. ein extra iobroker Admin überflüssig. Oder?
Als ich zum Test des Images aufgerufen habe und die Standardeinstellungen zur Diskussion stellte, hatte ich mir so einen Input gewünscht.
Vielleicht kannst du einen Issue erstellen? Dann bin ich gerne bereit das um zu setzen.MfG,
André -
@andre Andere frage wäre ob der user wirklich "iobroker " heissen sollte (und sorry ich bin kein Raspiuser) ... bisher legt der iobroker installer den user "iobroker" an als dem user wo alle Prozesse laufen. Vllt sollte der "Rechner user user"ein anderer sein?
-
@apollon77
Genau das hatte ich doch oben schon angemerkt.Wenn man aus Gründen der 'Corporate Identity' einen eigenen user haben möchte, dann würde ich 'iobadmin' oder sowas vorschlagen. Den dann gleich auch in die Gruppe 'iobroker' stecken, dann sollte das passen.
-
Also ich hab jetzt mal ein bisschen gegoogelt. Bis auf die angesprochenen möglichen Probleme mit der Desktopumgebung habe ich jetzt nichts gefunden warum UID 1000 unbedingt "pi" heißen muss. Hinzu kommt, dass das ioBroker Raspberry Image ja für einen besonderen Zweck vorgesehen ist und daher z.B. ja auch keine Desktopumgebung vorgesehen ist....
Ich sehe das Image da eher als "für den Betrieb von ioBroker" optimiert" und nicht als "eierlegende Wollmilchsau". Also mehr auf der Schiene von Raspberrymatic, wenn auch bisher nicht so tiefgreifend optimiert...
Wo ihr natürlich Recht habt ist, dass wir vermutlich nichts falsch machen wenn wir einen Adminuser und den System User iobroker (mit NOLOGIN) verwenden.
Da ich es sinnlos finde jetzt noch einen dritten User an zu legen wäre wohl das naheliegendste den pi als Admin User zu verwenden (auch auf die Gefahr hier dass gleich jemand aus dem Busch springt und sagt der Pi-User hat per default zu viel Macht)
Man wird es sowieso nie allen recht machen können...MfG,
André -
Ich habe mich zum Thema User auf dem Pi nochmal ein bisschen schlau gemacht.
Es spricht aus meiner Sicht weiter erst einmal weiter nichts dagegen, dass der erste User im System nicht pi heißt.
Im Gegenteil. Der User Pi hat von Haus aus ein besonderes Privileg: Die Möglichkeit sudo ohne Passwort zu nutzen (NOPASSWD). Benennt man den "ersten" User beim Image generieren um, verliert dieser dieses Privileg was m.E. ein positiver Sicherheitsaspekt ist.
Damit wären wir wieder beim "iobadmin" als default User, während der "iobroker" die Rolle als Systemuser mit "nologin" behält.Ein weiterer Aspekt im Zusammenhang mit Sicherheit ist außerdem die Möglichkeit bei der ersten Anmeldung des "iobadmin" (oder wie auch immer) die Änderung des Kennworts zu erzwingen. Sicherheitstechnisch vermutlich nicht verkehrt.
Meinungen/ Wortmeldungen dazu?
MfG,
André -
@andre sagte in Test Image Raspberry Pi OS v1.0.0:
Damit wären wir wieder beim "iobadmin" als default User, während der "iobroker" die Rolle als Systemuser mit "nologin" behält.
Die Aufteilung scheint mir vernünftig. Der Username ist für mich noch etwas "kompliziert" und das Wort "admin" muss aus meiner Sicht nicht unbedingt vorkommen - ist ja kein Admin / Root user. Aber leider fällt mir gerade so spontan auch kein besserer Name ein.
Bei Benutzername und Passwort würde ich übrigens darauf achten, dass kein "Y" oder "Z" vorkommt und dass das Default-Passwort keine Sonderzeichen hat - ist immer mühsam, wenn man lokal einloggen will und nicht sicher ist, welches Tastaturlayout eingestellt ist.
Ein weiterer Aspekt im Zusammenhang mit Sicherheit ist außerdem die Möglichkeit bei der ersten Anmeldung des "iobadmin" (oder wie auch immer) die Änderung des Kennworts zu erzwingen. Sicherheitstechnisch vermutlich nicht verkehrt.
Finde ich eine super Sache, ich hoffe, der Benutzer wird dann auch aufgefordert, sich das Passwort zu merken / aufzuschreiben
. Sonst haben wir dann hier im Forum plötzlich ganz viele Leute, die nicht mehr wissen, wie sie auf ihren Pi kommen... -
@unclesam sagte in Test Image Raspberry Pi OS v1.0.0:
Sonst haben wir dann hier im Forum plötzlich ganz viele Leute, die nicht mehr wissen, wie sie auf ihren Pi kommen...
Dann lass doch den pi mit seinem default leben. Dann fungiert der als Hintertür...
Wobei das natürlich auch keine gute Lösung ist, wenn die user pi denn dauerhaft mit dem default schlummern. -
Ich habe das Image auf einen Raspberry Pi 3B installiert.
Ist es normal, dass es mit diesem Image keine HDMI Ausgabe gibt. Ich komme nur über SSH drauf.
Fixe IP einstellen über sudo nano /etc/dhcpcd.conf wird irgendwie ignoriert. Ist das auch normal? -
@manuel001
Das basiert auf Raspberry OS lite, also Kommandozeile, nix Desktop. Per HDMI kommt da aber dennoch eine Konsole hoch. -
@thomas-braun
Ja aber es kommt eben auch keine Konsole. Der angeschlossene Monitor erkennt kein HDMI Signal.
Beim Image vom Betriebssystem alleine funktioniert die HDMI Ausgabe. -
@manuel001 Dann muss @andre dazu was sagen. Die Optionen kann man einstellen beim Image backen.
-
@thomas-braun @Manuel001 Was genau soll ich denn da einstellen? Auf dem Pi 4 kommt in jedem Fall die Konsole hoch. Da habe ich bisher keine Probleme gehabt. Habe leider keinen Pi 3B zum testen. Brauch da also schon ein wenig mehr Input.
MfG,
André -
@andre Ich kann die Tage mal einen RPi3 mit dem Image bestücken und schauen. Komme ich aber erst am WE dazu.
-
@andre
Ich habe auch einige Befehle zur Aktivierung der HDMI Schnittstelle, welche ich im Internet gefunden habe, probiert. Da wurde als Status angezeigt, dass HDMI deaktiviert ist. Aber eine Aktivierung hat auch nichts geändert. -
@andre Hallo,
ich habe das Image auf die Karte gebracht und den Pi4 gestartet.
Ich komme aber nicht auf die Weboberfläche mit ip...88:8081. -
Ich Grüße euch bin recht neu hier und will gerne dein img ausprobieren. Komme über ssh drauf aber hebe kein Login Passwort
-
iobroker / iobroker will einfach nicht?
-
@ioannisk probier mal pi / iobroker
