Freesco, NND, CDN, EOS
http://forum.freesco.pl/

SSH z zew padło?
http://forum.freesco.pl/viewtopic.php?f=36&t=18897
Strona 1 z 1

Autor:  wo0t?! [ poniedziałek, 27 maja 2013, 22:38 ]
Tytuł:  SSH z zew padło?

Witam

Mam problem by połączyć sie przez SSH z moim serwerkiem. Z Lanu śmiga bez problemu... tzn troszkę dłużej się czeka, ale z zew juz wcale. Najlepsze jest to że nic nie było zmieniane a port nadal jest 22. W skrócie można powiedzieć że wczoraj było OK a dziś już nie.. restart firewalla nie pomaga ani usługi SSH. Reboot całej maszny również.

ssh_config

: [/] [] ()
#       $OpenBSD: ssh_config,v 1.25 2009/02/17 01:28:32 djm Exp $

# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
#  1. command line options
#  2. user-specific file
#  3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options.  For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.

# Host *
#   ForwardAgent no
#   ForwardX11 no
#   RhostsRSAAuthentication no
#   RSAAuthentication yes
#   PasswordAuthentication yes
#   HostbasedAuthentication no
#   GSSAPIAuthentication no
#   GSSAPIDelegateCredentials no
#   BatchMode no
#   CheckHostIP yes
#   AddressFamily any
#   ConnectTimeout 0
#   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/identity
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
   Port 22
#   Protocol 2,1
#   Cipher 3des
#   Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
#   MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
#   EscapeChar ~
#   Tunnel no
#   TunnelDevice any:any
#   PermitLocalCommand no
#   VisualHostKey no

Host *
    ForwardX11 yes
    Protocol 2,1

    # If this option is set to yes then remote X11 clients will have full access
    # to the original X11 display. As virtually no X11 client supports the untrusted
    # mode correctly we set this to yes.
    ForwardX11Trusted yes

    # Send locale-related environment variables
    #SendEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
    #SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
    #SendEnv LC_IDENTIFICATION LC_ALL
    StrictHostKeyChecking no



wycinek z firewall'a

: [/] [] ()
    # zaplotkuj jesli nie chcesz udostepniac SSH do inetu
    if [ "$SSH" = "1" ]; then
        PORT_SSH=`grep ^Port /etc/ssh/sshd_config| cut -f 2 -d " "`
        [ -z $PORT_SSH ] && PORT_SSH=22
        $i -A INPUT -p tcp -i $EXTIF --dport $PORT_SSH -j ACCEPT
    #



przy restarcie brak jakich kolwiek błędów.

Serwer jest bramą dla innych PC w Lanie i ma bezpośrednie wyjście na świat. Tylko zanim jest switch z AP ale to male ma znaczenie.

pozdrawiam

Autor:  Maciek [ wtorek, 28 maja 2013, 00:04 ]
Tytuł:  Re: SSH z zew padło?

W przypadku ssh ważny jest plik sshd_config.
Po drugie sprawdź, co się stało z plikiem /etc/rc.firewall.

Autor:  wo0t?! [ wtorek, 28 maja 2013, 00:28 ]
Tytuł:  Re: SSH z zew padło?

W pliku rc.firewall SSH=1

zajrzałem do pliku sshd_config i nie widzę jakiś niepokojących zmian..

: [/] [] ()
#       $OpenBSD: sshd_config,v 1.74 2006/07/19 13:07:10 dtucker Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

Port 22
#Protocol 2,1
Protocol 2
HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 768

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
#MaxAuthTries 6


#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile     .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM no
AllowUSers thomus nx
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no

# no default banner path
#Banner /some/path

# override default of no subsystems
Subsystem sftp  /usr/lib/ssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#       X11Forwarding no
#       AllowTcpForwarding no
#       ForceCommand cvs server
Port 22
ListenAddress 0.0.0.0

Autor:  wo0t?! [ wtorek, 28 maja 2013, 00:31 ]
Tytuł:  Re: SSH z zew padło?

oj cofam... teraz przy restarcie firewall wyskakuje...

: [/] [] ()

[root@eos ssh]# service firewall restart
Zatrzymuję firewall.. wszystko otwarte.                         [    OK    ]
Uruchamiam Firewall: /etc/init.d/firewall: line 141: [: 22: binary operator expected
Bad argument `22'
Try `iptables -h' or 'iptables --help' for more information.
                                                                [    OK    ]

Autor:  Maciek [ wtorek, 28 maja 2013, 10:43 ]
Tytuł:  Re: SSH z zew padło?

Samo się nic nie dzieje.
W pliku sshd_config ktoś musiał grzebać. Na samym początku masz wpis Port 22. W oryginale jest zahaszowany, ponieważ wpis portu jest na końcu. Jak masz dwa razy podany port to i firewall głupieje.

Autor:  wo0t?! [ wtorek, 28 maja 2013, 14:30 ]
Tytuł:  Re: SSH z zew padło?

hmm a to jest właśnie dziwne... i zastanawiało mnie dlaczego dwa razy jest port podany. Myślałem że ten pierwszy był od HostKey portem, a tu się okazuje, że nie... sprawdziłem w pliku sshd_config.orig i rzeczywiście port zahaszowany.

Wszystko ładnie śmiga. Dzięki za pomoc. Nadal nie wiem co spowodowało tą zmianę.

Czy do zmiany portu wystarczy tylko "22" zastąpić innym portem czy jeszcze gdzieś muszę podać, że chce aby SSH było na innym porcie bo w firewall jest:

: [/] [] ()
PORT_SSH=`grep ^Port /etc/ssh/sshd_config| cut -f 2 -d " "`


czyli sam sobie pobierze aktualny port do otwarcia.

Autor:  Maciek [ środa, 29 maja 2013, 09:45 ]
Tytuł:  Re: SSH z zew padło?

Tak sam pobierze, ale port w sshd_config jest na końcu pliku podawany.

Autor:  bodzieg [ poniedziałek, 3 czerwca 2013, 11:18 ]
Tytuł:  Re: SSH z zew padło?

witam mamy podobny problem i zaistniał w podobnym czasie... lecz na NND otóż, poza logowaniem SSH które kompletnie nie działa, skanowaliśmy porty i nie jest otwarty, również nie działa nam fizyczne zalogowanie się na serwer, wpisujemy root lub innego usera z klawiatury i na tym się kończy. konsola jakby się zwieszała. Restart nie pomaga, pozostaje chyba tylko jakiś LIVE.

Autor:  Maciek [ poniedziałek, 3 czerwca 2013, 15:22 ]
Tytuł:  Re: SSH z zew padło?

bodzieg pisze:
witam mamy podobny problem i zaistniał w podobnym czasie... lecz na NND otóż, poza logowaniem SSH które kompletnie nie działa, skanowaliśmy porty i nie jest otwarty, również nie działa nam fizyczne zalogowanie się na serwer, wpisujemy root lub innego usera z klawiatury i na tym się kończy. konsola jakby się zwieszała. Restart nie pomaga, pozostaje chyba tylko jakiś LIVE.

Podejrzewam raczej problemy sprzętowe. Wyłączyć, odpalić po parominutowej przerwie i patrzeć na komunikaty podczas startu.
Druga możliwość - włamanie. Mało prawdopodobne, bo zwykle włamywacz chce korzystać ze zdobytej maszyny tak, by admin się nie połapał. Ale wykluczyć nie można.

Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/