TS: Probleme mit sane und simple-scan auf dem Raspi

Hello,

ich habe einen alten Agfa SnapScan 1212u_2 Scanner mit USB. Leider z. Zt. der einzige, der es noch tut.

Leider tut der nur mit meinem Debian-Laptop (mit saned und simplescan) und mit einem ViewScan (mit Wasserzeichen) an einem Win7. Beim Versuch, den Raspi für den Scanner fit zu machen, komme ich nicht weiter.

lsusb erkennt den Scanner
sane ist installiert
simple-scan ist installiert und zeigt die mögliche Quelle auch an
xsane GUI nachinstalliert. Hilft aber auch nichts. Sucht nach Geräten und bricht dann ab.

Die Anpassungen in snapscan.conf und in der saned.conf habe ich vorgenommen.

Trotzdem bekomme ich in der SnapScan-GUI immer nur die Meldung, dass keine Kommunikation mit dem Scanner hergestellt werden konnte.

Allerdings zeigt mein Lappj bei einem ps -F ax | grep sane vier laufende Prozesse an. Auf dem Raspi bekomme ich keinen saned gestartet. Der wird wohl benötigt?

Was kann ich tun?

Im INet finde ich nur dutzende Anleitungen, die beschreiben, dass es mit dem Raspi genauso geht, wie ich es versucht habe. Nur zum Starten vom saned steht dort nirgendwo etwas.

Verzweiflung!

Glück Auf
Tom vom Berg

--
Es gibt nichts Gutes, außer man tut es!
Das Leben selbst ist der Sinn.
  1. Hallo Tom!

    Du bist doch erfahren genug um zu wissen welche Frage jetzt kommt? Und ja, der saned wird benötigt.

    Paket installieren: sane-utils

    Diese Liste will ich sehen:

    sudo apt list | grep -P '^sane|^libsane|^xsane'

    Wird gerne vergessen: Rechte durch Gruppenmitgliedschaft an aktuellen User (und auf gleiche Weise auch an alle Benutzer, die den Scanner benutzen können dürfen sollen) vergeben:

    sudo usermod -aG scanner $USER

    (Danach den Benutzer, auch die selbst, neu anmelden!)

    Kontrolle, ob der saned läuft:

    systemctl status saned.socket

    Scanner Listen:

    • sudo sane-find-scanner | grep 'found'
    • sudo scanimage -L

    Die Ausgaben würde ich gern sehen.

    1. Hello,

      Du bist doch erfahren genug um zu wissen welche Frage jetzt kommt? Und ja, der saned wird benötigt.

      Paket installieren: sane-utils

      Diese Liste will ich sehen:

      sudo apt list | grep -P '^sane|^libsane|^xsane'

      root@raspberrypi:/home/pi# apt list | grep -P '^sane|^libsane|^xsane'
      
      WARNING: apt does not have a stable CLI interface. Use with caution in scripts.
      
      libsane/oldstable,now 1.0.25-4.1 armhf  [installiert]
      libsane-common/oldstable,now 1.0.25-4.1 all  [Installiert,automatisch]
      libsane-dbg/oldstable 1.0.25-4.1 armhf
      libsane-dev/oldstable 1.0.25-4.1 armhf
      libsane-extras/oldstable,now 1.0.22.4 armhf  [Installiert,automatisch]
      libsane-extras-common/oldstable,now 1.0.22.4 armhf  [Installiert,automatisch]
      libsane-extras-dev/oldstable 1.0.22.4 armhf
      libsane-hpaio/oldstable 3.16.11+repack0-3 armhf
      libsane-perl/oldstable 0.05-2+b4 armhf
      sane/oldstable,now 1.0.14-12 armhf  [installiert]
      sane-dbg/oldstable 1.0.14-12 armhf
      sane-utils/oldstable,now 1.0.25-4.1 armhf  [installiert]
      sanewall/oldstable 1.0.2+ds-3 all
      sanewall-doc/oldstable 1.0.2+ds-3 all
      xsane/oldstable,now 0.999-5 armhf  [installiert]
      xsane-common/oldstable,now 0.999-5 all  [Installiert,automatisch]
      xsane-dbg/oldstable 0.999-5 armhf
      root@raspberrypi:/home/pi#
      

      sudo usermod -aG scanner $USER

      ●OK●
      Groupmembers = saned, pi

      (Danach den Benutzer, auch die selbst, neu anmelden!)

      OK, Neustart

      Kontrolle, ob der saned läuft:

      systemctl status saned.socket

      root@raspberrypi:/home/pi# systemctl status saned.socket
      ● saned.socket - saned incoming socket
         Loaded: loaded (/lib/systemd/system/saned.socket; disabled; vendor preset: enabled)
         Active: inactive (dead)
         Listen: [::]:6566 (Stream)
       Accepted: 0; Connected: 0
      

      Scanner Listen:

      sudo sane-find-scanner | grep 'found'
      
      root@raspberrypi:/usr/share/sane# cd /
      root@raspberrypi:/# sane-find-scanner | grep 'found'
        # No SCSI scanners found. If you expected something different, make sure that
      found USB scanner (vendor=0x06bd [AGFA], product=0x2061 [ Snapscan1212u_2]) at libusb:001:005
      found USB scanner (vendor=0x0424, product=0xec00) at libusb:001:003
      root@raspberrypi:/#
      
      sudo scanimage -L
      
      root@raspberrypi:/# scanimage -L
      device `snapscan:libusb:001:005' is a AGFA SNAPSCAN 1212U_2 flatbed scanner
      root@raspberrypi:/# scanimage -L
      
      ### warten bis Timeout ###
      
      No scanners were identified. If you were expecting something different,
      check that the scanner is plugged in, turned on and detected by the
      sane-find-scanner tool (if appropriate). Please read the documentation
      which came with this software (README, FAQ, manpages).
      root@raspberrypi:/#
      

      Der Scanner reagiert ja auch, fängt aber nicht an zu scannen.

      Scheint so, als würde der seinen Treiber nicht finden. Den habe ich unter

      root@raspberrypi:/usr/share/sane/snapscan# ls -la
      insgesamt 72
      drwxr-xr-x 2 root root  4096 Nov 18 19:04 .
      drwxr-xr-x 4 root root  4096 Nov 18 21:57 ..
      -rwxrwxrwx 1 root root 32768 Nov 18 19:04 snap1212u.bin
      -rwxrwxrwx 1 root root 32768 Nov 18 18:38 snapscan1212u_2.bin
      

      vollkommen unsinnig, den auch beschreibbar zu machen, aber man weiß ja nie... So bin ich der einen Anleitung gefolgt, die das so gefordert hat. Muss also noch richtiggestellt werden.

      Jetzt bleibt die Frage, wo, außer in den *.conf-Dateien muss man die Lage des Treibers noch angeben? Diese Anleitung verstehe ich nämlich nicht die Bohne!

      Auf den Debian-Lappi habe ich damals nur apt-get install benutzt und es hat sofort funktioniert :-/

      Und da gibt es auch noch diesen Hinweis, dem ich jetzt mal folgen möchte...

      Liest sich so, als könnte mich das zum Ziel führen. Nur leider verstehe ich es nicht. Woher bekomme ich die beiden Files, was muss drinstehen? Wie kann ich, wie erwähnt, "zurückrudern" zur alten Vorgehensweise?

      Glück Auf
      Tom vom Berg

      --
      Es gibt nichts Gutes, außer man tut es!
      Das Leben selbst ist der Sinn.
      1. Du weißt doch, dass die genaue Kenntnis des verwendeten Linux wichtig ist. lsb-release -d liefert diese wichtige Informationen bei den meisten Linux-Derivaten.

        found USB scanner (vendor=0x06bd [AGFA], product=0x2061 [ Snapscan1212u_2]) at libusb:001:005
        

        und

        root@raspberrypi:/# scanimage -L
        device `snapscan:libusb:001:005' is a AGFA SNAPSCAN 1212U_2 flatbed scanner
        

        Das sagt nicht nur, dass der Anschluss funktioniert, sondern auch, dass der Scanner erkannt und die Firmware geladen wurde (sonst stände da nichts oder das falsche Modell).

        Was hast Du vor dem folgenden, fehlgeschlagenem Aufruf getan?

        root@raspberrypi:/# scanimage -L
        
        ### warten bis Timeout ###
        

        Ganz wichtige Frage:

        Wie wird denn der Scanner mit Strom versorgt? Nur durch den Raspi?

        Falls via USB: Hast Du einen aktiven USB-HUB (Mit Stromversorgung?) Dann klemm den mal dazwischen...

        1. Falsch:

          lsb-release -d liefert diese wichtige Informationen bei den meisten Linux-Derivaten.

          Richtig:

          lsb_release -d liefert diese wichtige Informationen bei den meisten Linux-Derivaten.

        2. Noch eine Frage zum Strom:

          Hast Du max_usb_current=1 in /boot/config.txt gesetzt?

          Hinweis auf mögliche Seiteneffekte:

          1. Hello,

            Noch eine Frage zum Strom:

            Hast Du max_usb_current=1 in /boot/config.txt gesetzt?

            Hinweis auf mögliche Seiteneffekte:

            Nö. Der Scanner hat ein eigenes Netzteil.

            Am Debian Lappi funktioniert er ja auch mit saned und simple-scan und/oder xsane. Das ist aber eine ältere Version, die einfach mit apt-get install funktioniert hat, ohne manuelle Nachkonfiguration.

            Und am Win7-Host tut er es mit der VueScan-Testversion. Ich kann aber jetzt nicht 29,- bis 59,- € für eine VueScan-Standard-Version oder knapp 100,-€ für die "professional" ausgeben. Ab 80,-€ gibt es schon neue einfache Scanner inclusive Software. Die sind allemal besser und schneller als der alte Agfa. Leider fehlt das Geld.

            Ich habe auch noch einen älteren hochwertigen Epson stehen, leider habe ich keine passende SCSI-Schnittstelle mehr dafür. Und ob der HP3c zu Recht auf dem Wartehaufen für den Elektroschrott steht, weiß ich auch noch nicht. Mit Win98SE lief der immer super. Für WinXP habe ich dann nach einem Motherboardwechsel keine passenden SCSI-Treiber für die Adaptec-Steckkarte mehr gefunden. Da fing der Ärger an.

            In dem zweiten verlinkten Artikel wird ja zweifelsfrei von einem Bug geredet, gegen den jemand einen Workaround gefunden hatte. Leider verstehe ich nicht, wid das mit den zusätzlichen Dateien gemeing war und was darin stehen muss.

            Bin jetzt sowieso erstmal wieder ein paar Tage im Krankenhaus. Aber die Papierberge stapeln sich so langsam.

            Glück Auf
            Tom vom Berg

            --
            Es gibt nichts Gutes, außer man tut es!
            Das Leben selbst ist der Sinn.
            1. Hallo,

              gute Besserung!

              Gruß
              Kalk

            2. Ab 80,-€ gibt es schon neue einfache Scanner inclusive Software. Die sind allemal besser und schneller als der alte Agfa.

              Schneller bestimmt, aber besser? Darauf würde ich nicht wetten. Ich hatte bis vor ein paar Jahren genau Agfa Snapscan 1212 U. Mittlerweile steht hier so ein schnödes All-in-one Ding von HP rum.

              Die Scanqualität des Agfa empfand ich weit besser.

        3. Wenn die Stromversorgung klar ist.

          Da der Klick auf ein Icon normalerweise keine Konsole für die Ausgaben von Fehlern und Notizen bietet sollte bei Problemen immer erst mal "was in der Konsole" verucht werden. (Man könnte auch xsane & co. in einer Konsole starten)

          scanimage  --format png > file.png
          

          oder:

          Scanner ermitteln und in Variable schreiben und dann scannen.

          scanner= $(scanimage -L | head -n1 | sed -e 's/^.*`//' -e "s/'.*$//");
          scanimage  -d $scanner --format png > file.png
          

          Allerdings gibt es eine Empfehlung für scanadf. Das nummeriert so schön durch:

          scanadf -v -d $scanner --mode '24 bit Color' -o scan_%d.png
          
          1. Hallo TS!

            Die Ausgaben von scanimage bzw. scanadf hätte ich schon gerne gesehen, um weiter helfen zu können…

            1. Hello,

              Die Ausgaben von scanimage bzw. scanadf hätte ich schon gerne gesehen, um weiter helfen zu können…

              Geduld ;-)
              Lass mich erstmal heile hier rauskommen und wieder zuhause sein.

              Ich bin ja selber daran interessiert, die Lösung zu finden.

              Wer von den Mitlesern hat denn sonst noch einen Flachbettscanner an einem neueren Linux hängen? Laufen die alle?

              Glück Auf
              Tom vom Berg

              --
              Es gibt nichts Gutes, außer man tut es!
              Das Leben selbst ist der Sinn.
          2. Hello,

            Wenn die Stromversorgung klar ist.

            Da der Klick auf ein Icon normalerweise keine Konsole für die Ausgaben von Fehlern und Notizen bietet sollte bei Problemen immer erst mal "was in der Konsole" verucht werden. (Man könnte auch xsane & co. in einer Konsole starten)

            scanimage  --format png > file.png
            
            root@raspberrypi:/test# lsusb
            Bus 001 Device 005: ID 046a:b090 Cherry GmbH Keyboard
            Bus 001 Device 007: ID 06bd:2061 AGFA-Gevaert NV SnapScan 1212U (?)
            Bus 001 Device 004: ID 04f2:0939 Chicony Electronics Co., Ltd
            Bus 001 Device 003: ID 0424:ec00 Standard Microsystems Corp. SMSC9512/9514 Fast Ethernet Adapter
            Bus 001 Device 002: ID 0424:9514 Standard Microsystems Corp. SMC9514 Hub
            Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
            
            root@raspberrypi:/test# scanimage  --format png > file.png
            scanimage: open of device snapscan:libusb:001:007 failed: Error during device I/O
            

            Wie könnte ich denn z. B. mit lsof feststellen, welche Files vom Scanner-Daemon während des Aufrufes angefordert werden?

            oder:

            Scanner ermitteln und in Variable schreiben und dann scannen.

            scanner= $(scanimage -L | head -n1 | sed -e 's/^.*`//' -e "s/'.*$//");
            scanimage  -d $scanner --format png > file.png
            
            root@raspberrypi:/test# scanner= $(scanimage -L | head -n1 | sed -e 's/^.*`//' -e "s/'.*$//");
            bash: snapscan:libusb:001:007: Kommando nicht gefunden.
            root@raspberrypi:/test# scanimage  -d $scanner --format png > file.png
            scanimage: open of device --format failed: Invalid argument
            root@raspberrypi:/test# which sed
            /bin/sed
            root@raspberrypi:/test# which head
            /usr/bin/head
            root@raspberrypi:/test# which scanimage
            /usr/bin/scanimage
            root@raspberrypi:/test#
            

            Da scheint wohl etwas zu fehlen. Ich steige durch deine Befehlszeile leider auch noch nicht durch. :-(

            Bei sane-find-scanner erhalte ich

            found USB scanner (vendor=0x06bd [AGFA], product=0x2061 [ Snapscan1212u_2]) at libusb:001:005
            could not fetch string descriptor: Pipe error
            could not fetch string descriptor: Pipe error
            

            Was bedeutet das "string descriptor" hier? Ich bin nicht der Einzige, der diese Fehlermeldung in den letzten Jahren kassiert hat... :-(

            Kann es sich um ein Rechteproblem handeln? Ich fand da noch dieses und diese Zeilen zum Thema Rules.

            Ich habe die Rules mal gemäß dem letzten Tipp hinzugefügt...
            Das ändert aber nichts. Die Scannerlampe wird angeknipst und dann steht das Ding.

            Glück Auf
            Tom vom Berg

            --
            Es gibt nichts Gutes, außer man tut es!
            Das Leben selbst ist der Sinn.
            1. Da scheint wohl etwas zu fehlen. Ich steige durch deine Befehlszeile leider auch noch nicht durch. :-(

              Ich, aber momentan nur soweit, dass ich da wohl was falsch notiert habe. Kann die Zeile aber nicht wirklich testen. Ich kümmere mich darum, sobald ich auf einem festen Platz sitze (derzeit wackelnde S5, Hannover) und die Lesebrille aufgesetzt habe.

            2. root@raspberrypi:/test# scanner= $(scanimage -L | head -n1 | sed -e 's/^.*`//' -e "s/'.*$//");
              bash: snapscan:libusb:001:007: Kommando nicht gefunden.
              

              Da scheint wohl etwas zu fehlen. Ich steige durch deine Befehlszeile leider auch noch nicht durch. :-(

              Da fehlt nichts, da ist etwas zu viel. Nämlich ein Leerzeichen nach dem [=].

              scanner=$(scanimage -L | head -n1 | sed -e 's/^.*`//' -e "s/'.*$//");
              scanimage -d $scanner --format png > file.png;
              

              Macht scanimage -L, verwirft alles außer der ersten Zeile. Verwirft vom rest erst alles vor dem Backtick [] (und diesen selbst, dann alles nach dem Apostroph ['] und diesen selbst. Das Ergebnis ist etwas wiesnapscan:libusb:001:007 ` und wird in die Variable scanner geschrieben. Dank des Leerzeichens hat die Übernahme in die Variable nicht geklappt.

              Danach sollte also das Scannen mit der Angabe des Devices klappen.

              Merkwürdig ist nämlich, dass der Scanner mal als

              snapscan:libusb:001:007 (und dann als snapscan:libusb:001:005 erkannt wird. Das ist schlicht unmöglich… Hast Du noch ein Webcam o.ä. am Raspi hängen?

              1. Hello,

                scanner=$(scanimage -L | head -n1 | sed -e 's/^.*`//' -e "s/'.*$//");
                scanimage -d $scanner --format png > file.png;
                

                leider nein.
                Es kommt nach dem Timeout die Ausgabe:

                root@raspberrypi:/home/pi# scanner=$(scanimage -L | head -n1 | sed -e 's/^.*`//' -e "s/'.*$//");
                root@raspberrypi:/home/pi# scanimage -d $scanner --format png > file.png;
                scanimage: open of device snapscan:libusb:001:005 failed: Invalid argument
                

                Es hängen nur der Scanner, die Maus und die Tastatur am USB.

                Nochmal zur Kontrolle die Ausgabe von dmesg nach dem Ab- und Wiederanstöpseln des Scanners:

                [12523.239595] warning: process `scanimage' used the deprecated sysctl system call with 8.1.2.
                [12971.561808] usb 1-1.4: USB disconnect, device number 5
                [12975.695136] usb 1-1.4: new full-speed USB device number 7 using dwc_otg
                [12975.855587] usb 1-1.4: New USB device found, idVendor=06bd, idProduct=2061, bcdDevice= 1.32
                [12975.855601] usb 1-1.4: New USB device strings: Mfr=1, Product=2, SerialNumber=0
                [12975.855606] usb 1-1.4: Product:  Snapscan1212u_2
                [12975.855611] usb 1-1.4: Manufacturer: AGFA
                

                Glück Auf
                Tom vom Berg

                --
                Es gibt nichts Gutes, außer man tut es!
                Das Leben selbst ist der Sinn.
                1. root@raspberrypi:/home/pi# scanner=$(scanimage -L | head -n1 | sed -e 's/^.*`//' -e "s/'.*$//");
                  root@raspberrypi:/home/pi# scanimage -d $scanner --format png > file.png;
                  scanimage: open of device snapscan:libusb:001:005 failed: Invalid argument
                  

                  Das kann eigentlich gar nicht sein, weil der Scanner Bruchteile von Sekunden früher eben genau dort (libusb:001:005) gefunden wurde.

                  Doch dann lese ich:

                  [12971.561808] usb 1-1.4: USB disconnect, device number 5
                  [12975.695136] usb 1-1.4: new full-speed USB device number 7 using dwc_otg
                  [12975.855587] usb 1-1.4: New USB device found, idVendor=06bd, idProduct=2061, bcdDevice= 1.32
                  [12975.855601] usb 1-1.4: New USB device strings: Mfr=1, Product=2, SerialNumber=0
                  [12975.855606] usb 1-1.4: Product:  Snapscan1212u_2
                  [12975.855611] usb 1-1.4: Manufacturer: AGFA
                  

                  Hm.

                  Es kann sein, dass das Firmware-Binary für den Scanner ausführbaren Code enthält. Wenn es das sein sollte (und so sieht es für mich aus) dann hast Du ein ernsthafteres Problem damit, den an etwas anderem als einem Intel/AMD zu betreiben. Grund: Der ausführbare Code läuft dann nicht auf ARM oder ARMHF-Prozessoren.

                  Eine Lösung könnte qemu, also damit eine Emulation eines 32-Bit-Intel und den Betrieb des gesamten sane-stacks in dieser Emulation darstellen. Allerdings wäre das ziemlich aufwendig und es ist sehr schwierig dabei blind zu helfen.

                  1. Hello,

                    Womöglich läuft die Firmware nicht auf ARM / ARMHF

                    Das sollte sie aber, denn es gibt genügend Berichte und Anleitungen mit der Vorgängerversion, mit der das klappt mit dem Raspi.

                    Und es gab ja auch diese eine recht umfangreiche Seite, in der jemand einen Workaround für die laufende Version gefunden hat. Leider verstehe ich die Beschreibung nicht wirklich.

                    Ich kümmere mich nachher nochmal darum. :-O

                    Glück Auf
                    Tom vom Berg

                    --
                    Es gibt nichts Gutes, außer man tut es!
                    Das Leben selbst ist der Sinn.
      2. libsane-perl/oldstable
        …/oldstable
        

        Woher kommt denn das 'oldstable'?

        1. Hello,

          libsane-perl/oldstable
          …/oldstable
          

          Woher kommt denn das 'oldstable'?

          Kann sein, dass das inzwischen nicht mehr drinsteht.

          Ich habe gestern Abend noch ein Upgrade gefahren. Hat aber trotzdem nicht funktioniert.

          Das Original-OS Raspbian war ja vorinstalliert. Aber ich mag da von hier jetzt nicht nachgucken. Ich liege hier hinter einem merkwürdigen WLAN-Proxy. Das Netz ist nicht sonderlich stabil. Da mag ich meine Fritzbox von hier aus nicht weiter öffnen.

          Also vermutlich Samstag gehts weiter.

          Glück Auf
          Tom vom Berg

          --
          Es gibt nichts Gutes, außer man tut es!
          Das Leben selbst ist der Sinn.
          1. Hallo Tom,

            Woher kommt denn das 'oldstable'?

            Kann sein, dass das inzwischen nicht mehr drinsteht.

            Ich habe gestern Abend noch ein Upgrade gefahren.

            okay, also hattest du noch einen relativ alten Softwarestand.

            Das Original-OS Raspbian war ja vorinstalliert.

            Nun ja, aber Raspbian ist in einigen Punkten etwas ... hmm, eigenartig vorkonfiguriert. Ich habe neulich auf meinem Raspi mit nagelneuem Raspbian Buster per raspi-config den SSH-Server aktiviert und mich dann eine Weile gewundert, warum ich mich trotzdem nicht per SSH einloggen konnte. Der SSH-Server war da, hat mit mir gesprochen, aber nach Eingabe von Benutzername und Kennwort erklärt: Permission denied.

            Bis ich dann herausgefunden habe, dass Raspbian per Voreinstellung ein root-Login über SSH ablehnt - das muss man extra freigeben.

            Das kenne ich bisher von einem Desktop-Linux nicht. Sowohl bei meinem Favoriten Linux Mint, als auch bei einem reinrassigen Debian kann ich mich immer auch als root über SSH anmelden.

            Ich liege hier hinter einem merkwürdigen WLAN-Proxy. Das Netz ist nicht sonderlich stabil. Da mag ich meine Fritzbox von hier aus nicht weiter öffnen.

            Sounds a bit scary.

            Ciao,
             Martin

            --
            Frage an die Kollegin am Montagmorgen: "Na, wie war dein Wochenende?"
            Depressive Kollegin: "Hell, dunkel, hell, dunkel, Montag."
            1. Sowohl bei meinem Favoriten Linux Mint, als auch bei einem reinrassigen Debian kann ich mich immer auch als root über SSH anmelden.

              Bei modernen und ordentlich eingerichteten Linuxen steht in der sshd_config:

              #PermitRootLogin no
              PermitRootLogin without-password
              

              Das bedeutet, dass der root sich anmelden kann - aber eben nur mit einem SSH-Key.

              Und wo das nicht so eingerichtet ist, sollte es nachgeholt werden.

              Ansonsten erlauben diese Zeilen die Anmeldung von einem definierten Netz (Host geht auch) aus mit Passwort, vom Rest der Welt aus ist ein SSH-Key erforderlich.

              #PasswordAuthentication yes
              PasswordAuthentication no
              
              Match Address 192.168.1.0/24
                      PasswordAuthentication yes
              
              1. Hallo,

                Sowohl bei meinem Favoriten Linux Mint, als auch bei einem reinrassigen Debian kann ich mich immer auch als root über SSH anmelden.

                Bei modernen und ordentlich eingerichteten Linuxen steht in der sshd_config:

                #PermitRootLogin no
                PermitRootLogin without-password
                

                und bei Raspbian steht da einfach pauschal: no

                Das bedeutet, dass der root sich anmelden kann - aber eben nur mit einem SSH-Key.

                Stimmt, irgendso'n Key-Gedöns lief da beim ersten Login auch ab. Aber eben nur beim ersten Mal. Danach einfach Benutzername, Kennwort, und gut.

                Ansonsten erlauben diese Zeilen die Anmeldung von einem definierten Netz (Host geht auch) aus mit Passwort, vom Rest der Welt aus ist ein SSH-Key erforderlich.

                #PasswordAuthentication yes
                PasswordAuthentication no
                
                Match Address 192.168.1.0/24
                        PasswordAuthentication yes
                

                Das ist gut, danke. Ich will ja normalerweise ausschließlich eine Anmeldung aus dem lokalen Netz zulassen.

                So long,
                 Martin

                --
                Frage an die Kollegin am Montagmorgen: "Na, wie war dein Wochenende?"
                Depressive Kollegin: "Hell, dunkel, hell, dunkel, Montag."
                1. Stimmt, irgendso'n Key-Gedöns lief da beim ersten Login auch ab. Aber eben nur beim ersten Mal.

                  Das war die Bestätigung des Hostkeys des Servers. Dir wurde der Fingerprint (Hash) des selben angezeigt und gefragt, ob Du diesen akzeptierst. Seit dem steht er in $HOME/.shh/known_hosts.

                  Danach einfach Benutzername, Kennwort, und gut.

                  Nur in [D]einem Haushalt. Ist der Host aus dem Internet oder auch nur im Netz einer Organisation/Firma erreichbar, dann dürfte das ein veritabler Sicherheitsverstoß sein.

                  Und unbequem ist es auch… Ich benutze z.B. SSH-Keys ohne Passwort. Das geht aber auch nur weil ich diese auf einem verschlüsselten Dateisystem aufbewahre, welches bei der Anmeldung gemountet wird.

                2. Ich will ja normalerweise ausschließlich eine Anmeldung aus dem lokalen Netz zulassen.

                  Dann ändere mal bei tragbaren Geräten folgende Zeilen wie folgt ab:

                  ## file: /etc/ssh/sshd_config
                  
                  # Beschränken auf (feste) IP des Hosts im lokalen Netz.
                  ListenAddress 192.168.1.200
                  
                  # Root verbieten
                  PermitRootLogin no
                  
                  # Alle Auth-Verfahren deaktivieren 
                  
                  # gebräuchliche
                  PasswordAuthentication no
                  PubkeyAuthentication no
                  
                  # in besonderen Umgebungen verwendete:
                  RSAAuthentication no
                  RhostsRSAAuthentication no
                  ChallengeResponseAuthentication no
                  KerberosAuthentication no
                  GSSAPIAuthentication no
                  
                  # Anzahl der Sitzungen beschränken
                  MaxSessions 0
                  
                  
                  Match Address 192.168.1.0/24
                          PasswordAuthentication yes
                          PermitRootLogin no
                          # Nein, ich schreibe da öffentlich kein "yes" hin:
                          PermitRootLogin without-password
                          # Auf dem Schulungs-Laptop steht da 150 für 25 Teilnehmer…
                          MaxSessions 10
                          
                  

                  man 5 sshd_config liefert weitere Hinweise.

            2. Hello,

              Sounds a bit scary.

              Was man aufmacht, sollte man auch irgendwann wieder schließen. Schlecht nur, wenn mir zwischendurch das Netz wegbricht. Per Antenne bekomme ich nur ein sehr dürftiges EDGE. Der WLAN macht ja wenigstens 8M/5M, wenn er einen nicht rausschmeißt.

              Glück Auf
              Tom vom Berg

              --
              Es gibt nichts Gutes, außer man tut es!
              Das Leben selbst ist der Sinn.