[gelöst] Proxmox Zigbee Permisson denied

MCU

@thomas-braun Meine Logik dachte, ich müsste es in einem anderen Parameter-Feld eingeben. Hatte nicht an to adapt -> anpassen gedacht.

MCU

@thomas-braun Muss leider nochmal nachhaken.
Habe jetzt einen priviligierten Container erstellt und versuche Zigbee zu nutzen.

Im unpriviligiertem Container läuft es, im priviligiertem nicht?

Geprüfte Werte im unpriviligiertem Container

prox@iobrokerPROD:~$ ls -l /dev/serial/by-id/usb-ITead_Sonoff_Zigbee_3.0_USB_Dongle_Plus_48e2ca301045ec119c1e92fd6f14af06-if00-port0
crwxrwxrwx 1 nobody nogroup 188, 0 Jul  9 22:04 /dev/serial/by-id/usb-ITead_Sonoff_Zigbee_3.0_USB_Dongle_Plus_48e2ca301045ec119c1e92fd6f14af06-if00-port0

Geprüfte Werte im priviligiertem Container

prox@iobrokerPRIV:~$ ls -l /dev/serial/by-id/usb-ITead_Sonoff_Zigbee_3.0_USB_Dongle_Plus_48e2ca301045ec119c1e92fd6f14af06-if00-port0
crwxrwxrwx 1 root dialout 188, 0 Jul  9 20:04 /dev/serial/by-id/usb-ITead_Sonoff_Zigbee_3.0_USB_Dongle_Plus_48e2ca301045ec119c1e92fd6f14af06-if00-port0
prox@iobrokerPRIV:~$ id iobroker
uid=1002(iobroker) gid=1002(iobroker) groups=1002(iobroker),5(tty),20(dialout),29(audio),44(video)

Log vom priviligiertem Container

zigbee.0
2022-07-09 22:19:01.255	error	getGroups: caught error: TypeError: Cannot read properties of undefined (reading 'getGroups')

zigbee.0
2022-07-09 22:17:47.507	error	Error herdsman start

zigbee.0
2022-07-09 22:17:47.506	error	Failed to start Zigbee

zigbee.0
2022-07-09 22:17:47.506	error	Starting zigbee-herdsman problem : "Error while opening serialport 'Error: Error: Operation not permitted, cannot open /dev/serial/by-id/usb-ITead_Sonoff_Zigbee_3.0_USB_Dongle_Plus_48e2ca301045ec119c1e92fd6f14af06-if00-port0'"

zigbee.0
2022-07-09 22:17:47.454	info	Installed Version: iobroker.zigbee@1.7.5

zigbee.0
2022-07-09 22:17:47.449	info	Starting Zigbee npm ...

zigbee.0
2022-07-09 22:17:47.448	info	Try to reconnect. 1 attempts left

zigbee.0
2022-07-09 22:17:37.448	error	Error herdsman start

zigbee.0
2022-07-09 22:17:37.448	error	Failed to start Zigbee

zigbee.0
2022-07-09 22:17:37.448	error	Starting zigbee-herdsman problem : "Error while opening serialport 'Error: Error: Operation not permitted, cannot open /dev/serial/by-id/usb-ITead_Sonoff_Zigbee_3.0_USB_Dongle_Plus_48e2ca301045ec119c1e92fd6f14af06-if00-port0'"

Thomas Braun

@mcu

Von Containern hab ich nur insofern Ahnung, dass ich weiß:
In geraden Wochen wird donnerstags der gelbe geholt, in den ungeraden der graue. Altpapier wird freitags abgeholt.

Kochen

@mcu Kannst du mir sagen, was du in/an der conf umgestellt hast?
Ich habe die gleichen Probleme:

Container:

ls -l /dev/serial/by-id/usb-ITead_Sonoff_Zigbee_3.0_USB_Dongle_Plus_xxx-if00-port0
---------- 1 root root 0 Sep 22 13:56 /dev/serial/by-id/usb-ITead_Sonoff_Zigbee_3.0_USB_Dongle_Plus_xxx-if00-port0

MCU

@kochen
Wie sieht es denn auf dem Host aus? Und Deine conf? Bei dir scheint es ein Rechte Problem zu geben?

Kochen

@mcu
Hi, hier die Daten, dabei habe ich mich an diese Anleitung gehalten:
https://www.iobroker.net/#de/documentation/install/proxmox.md

Host

code_textroot@proxmox:~# lsusb
Bus 002 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 001 Device 005: ID 8087:07da Intel Corp. Centrino Bluetooth Wireless Transceiver
Bus 001 Device 006: ID 10c4:ea60 Silicon Labs CP210x UART Bridge
Bus 001 Device 007: ID 0451:bef3 Texas Instruments, Inc. CC1352R1 Launchpad
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
root@proxmox:~# 

root@proxmox:~# ls -l /dev/bus/usb/001/010
crw-rw-rw- 1 root users 189, 9 Sep 24 20:31 /dev/bus/usb/001/010
root@proxmox:~# 

root@proxmox:~# ls /dev/serial/by-id/
usb-ITead_Sonoff_Zigbee_3.0_USB_Dongle_Plus_f266e43a5229ec1184766f7840c9ce8d-if00-port0
root@proxmox:~# 

root@proxmox:~# ls -l /dev/ttyACM*
ls: cannot access '/dev/ttyACM*': No such file or directory
root@proxmox:~# ls -l /dev/ttyUSB*
crw-rw-rw- 1 root dialout 188, 0 Sep 24 20:31 /dev/ttyUSB0
root@proxmox:~# 

 GNU nano 5.4                                                                     115.conf *                                                                            
arch: amd64
cores: 1
features: nesting=1
hostname: ioBroker
memory: 1024
net0: name=eth0,bridge=vmbr0,firewall=1,hwaddr=6E:65:FC:36:43:CB,ip=dhcp,type=veth
ostype: debian
parent: nachIoInstall
rootfs: local-lvm:vm-115-disk-0,size=16G
swap: 1024
unprivileged: 1

lxc.cgroup2.devices.allow: c 189:* rwm
lxc.mount.entry: usb-ITead_Sonoff_Zigbee_3.0_USB_Dongle_Plus_xxx-if00-port0 dev/serial/by-id/usb-ITead_Sonoff_Zigbee_3.0_USB_Dongle_Plus_xxx-if00-port0 none bind,optional,create=file

lxc.cgroup2.devices.allow: c 188:* rwm
lxc.mount.entry: /dev/ttyUSB0 dev/ttyUSB0 none bind,optional,create=file

[nachIoInstall]
#ioBroker erfolgreich installiert ip 163
arch: amd64
cores: 1
features: nesting=1
hostname: ioBroker
memory: 1024
net0: name=eth0,bridge=vmbr0,firewall=1,hwaddr=6E:65:FC:36:43:CB,ip=dhcp,type=veth
ostype: debian
parent: vorIOInstall
rootfs: local-lvm:vm-115-disk-0,size=16G
snaptime: 1664004213
swap: 1024
unprivileged: 1

[vorIOInstall]
#Date, User David updates
arch: amd64
cores: 1
features: nesting=1
hostname: ioBroker

root@proxmox:/etc/pve/lxc# chmod o+rw /dev/ttyUSB*
root@proxmox:/etc/pve/lxc# 

LXC Container:

david@ioBroker:~$ lsusb
Bus 002 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 001 Device 005: ID 8087:07da Intel Corp. Centrino Bluetooth Wireless Transceiver
Bus 001 Device 004: ID 0451:bef3 Texas Instruments, Inc. CC1352R1 Launchpad
Bus 001 Device 003: ID 046a:0180 Cherry GmbH Strait 3.0
Bus 001 Device 002: ID 10c4:ea60 Silicon Labs CP210x UART Bridge
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
david@ioBroker:~$ 

david@ioBroker:~$ ls -l /dev
total 0
crw--w---- 1 root   tty     136, 0 Sep 25 13:33 console
lrwxrwxrwx 1 root   root        11 Sep 25 13:33 core -> /proc/kcore
lrwxrwxrwx 1 root   root        13 Sep 25 13:32 fd -> /proc/self/fd
crw-rw-rw- 1 nobody nogroup   1, 7 Sep 25 13:29 full
lrwxrwxrwx 1 root   root        12 Sep 25 13:33 initctl -> /run/initctl
lrwxrwxrwx 1 root   root        28 Sep 25 13:33 log -> /run/systemd/journal/dev-log
drwxrwxrwt 2 nobody nogroup     40 Sep 25 13:32 mqueue
crw-rw-rw- 1 nobody nogroup   1, 3 Sep 25 13:29 null
crw-rw-rw- 1 root   root      5, 2 Sep 25 13:34 ptmx
drwxr-xr-x 2 root   root         0 Sep 25 13:32 pts
crw-rw-rw- 1 nobody nogroup   1, 8 Sep 25 13:29 random
drwxr-xr-x 3 root   root        60 Sep 25 13:32 serial
drwxrwxrwt 2 root   root        40 Sep 25 13:33 shm
lrwxrwxrwx 1 root   root        15 Sep 25 13:32 stderr -> /proc/self/fd/2
lrwxrwxrwx 1 root   root        15 Sep 25 13:32 stdin -> /proc/self/fd/0
lrwxrwxrwx 1 root   root        15 Sep 25 13:32 stdout -> /proc/self/fd/1
crw-rw-rw- 1 nobody nogroup   5, 0 Sep 25 13:29 tty
crw------- 1 david  tty     136, 1 Sep 25 13:34 tty1
crw--w---- 1 root   tty     136, 2 Sep 25 13:33 tty2
crw-rw-rw- 1 nobody nogroup 188, 0 Sep 25 13:29 ttyUSB0
crw-rw-rw- 1 nobody nogroup   1, 9 Sep 25 13:29 urandom
crw-rw-rw- 1 nobody nogroup   1, 5 Sep 25 13:29 zero
david@ioBroker:~$ 

Zigbee Adapter:

zigbee.0
2022-09-25 13:38:33.445	error	getGroups: caught error: TypeError: Cannot read properties of undefined (reading 'getGroups')

zigbee.0
2022-09-25 13:37:25.932	error	Error herdsman start

zigbee.0
2022-09-25 13:37:25.931	error	Failed to start Zigbee

zigbee.0
2022-09-25 13:37:25.930	error	Starting zigbee-herdsman problem : "No path provided and failed to auto detect path"

zigbee.0
2022-09-25 13:37:15.741	error	Error herdsman start

zigbee.0
2022-09-25 13:37:15.740	error	Failed to start Zigbee

zigbee.0
2022-09-25 13:37:15.740	error	Starting zigbee-herdsman problem : "No path provided and failed to auto detect path"

zigbee.0
2022-09-25 13:37:14.925	error	Serial port not selected! Go to settings page.

Irgendwelche Ideen?
Ich versuche es nun schon seit einigen Tagen, aber ohne Erfolg

CrunkFX

@kochen Hi, um dem ganzen Ärger der durch diesen Versuch immer wieder entsteht ein wenig den Wind aus den Segeln zu nehmen empfehle ich ganz stark gerade Leuten die nicht übermäßig viel Proxmox Erfahrung haben einen privilegierten Container anzulegen. Das ist zwar für sicherheitskritische Anwendungen absolut nicht zu empfehlen, solange der iobroker Server aber im lokalen Netzwerk steht und über VPN etc. Erreicht wird ist das m.E. die beste und vor allem stressfreieste Methode.

Um einen unprivilegierten Container zu einem privilegierten zu machen, ist es in Proxmox >6 lediglich notwendig ein Backup zu machen und anschließend über die Funktion wiederherstellen als privilegierten Container wiederherstellen.

Damit werden nun alle USB Geräte im Host automatisch im LXC mit vollen Rechten bereitgestellt.

Bei Fragen stehe ich gerne zur Verfügung.

LG und frohes Schaffen

Kochen

@crunkfx ok, danke.
Dann werde ich es mal mit einem privilegierten Container ausprobieren.
Also einfach einen erstellen bzw. aus dem Backup heraus und dann?
Muss noch irgendwas in der Config angepasst werden? Oder was muss ich dann beim Zigbee Adapter einstellen? /dev/ttyUSB0 ?
Viele Grüße

CrunkFX

@kochen Du musst nach dem Anlegen schauen als was das USB Gerät erkannt wird. Dazu kannst du per

ls /dev

In der Konsole die aktuellen Geräte sehen und auch beim ein/ausstecken den Unterschied.

iThiel

@crunkfx bei den Sicherheitsbedenken stimme ich dir zu, allerdings gibt es einen in meinen Augen viel größeren Nachteil im Bezug auf unprivilegierten Containern und ioBroker.

Meines Wissens nach ist es nicht möglich Netzwerkshares direkt einzubinden, was die Nutzung von Adaptern wie Backitup obsolet machen. Natürlich kann ich mein Backupshare für ioBroker direkt in Proxmox einbinden und an den unprivilegierten Container durch zu mounten, allerdings bin ich der Meinung, das gerade bei Backups so wenig "player" wie möglich die Finger drin haben sollten.