Не пускает по ssh

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Не пускает по ssh

Непрочитанное сообщение Grishun_U_S » 2008-09-21 14:10:08

Добрый день!

Есть вот такая проблема -- после нажатия кнопки CONNECT в putty происходит зависание клиента на несколько минут (см. вложение), а потом отваливается по тайм-ауту. В фаерволе стоят правила pass all, серв пингуется и nmap показывает открытый 22 порт.
В чем может быть дело? sshd повис?
Вложения
ssh_troubles.GIF
Изображение

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: Не пускает по ssh

Непрочитанное сообщение zg » 2008-09-21 14:24:41

Grishun_U_S писал(а):и nmap показывает открытый 22 порт
с какого компа смотрел?

смотри в строну фаеров, если ссх запущен, то пускать должно, а у тебя соединение не устанавливается. Проверяй пинг, сокстат и ipfw, потом смотри в сторону /var/log/messages, может там ругань идёт. Хотя честно скажу, не помню ни одного случая, чтобы sshd упал или повис.

Аватара пользователя
vintovkin
ВДВ
Сообщения: 1291
Зарегистрирован: 2007-05-11 9:39:11
Откуда: CSKA

Re: Не пускает по ssh

Непрочитанное сообщение vintovkin » 2008-09-21 14:43:40

Код: Выделить всё

ps -auxwc | grep sshd
cat /etc/ssh/sshd_config
ipfw show
ifconfig -a
фстудию :smile:
JunOS kernel based on FreeBSD UNIX.

Аватара пользователя
~>cerber<~
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-06-23 0:58:32
Откуда: [UKRAINE]
Контактная информация:

Re: Не пускает по ssh

Непрочитанное сообщение ~>cerber<~ » 2008-09-21 15:21:19

у меня такое было только один раз в жизни, когда клиент очень долго в первый раз генерил ключ
а вообще посмотри логи
перезапусти sshd -d и наблюдай что происходит
;aka coolchevy
live free or die;

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Не пускает по ssh

Непрочитанное сообщение Grishun_U_S » 2008-09-21 19:00:18

vintovkin писал(а):

Код: Выделить всё

ps -auxwc | grep sshd
cat /etc/ssh/sshd_config
ipfw show
ifconfig -a
фстудию :smile:
а кто сказал что у меня ipfw?
ЗЫ : это точно не фаер. Он ОТКЛЮЧЕН.
Изображение

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Не пускает по ssh

Непрочитанное сообщение Grishun_U_S » 2008-09-21 19:03:44

~>cerber<~ писал(а):у меня такое было только один раз в жизни, когда клиент очень долго в первый раз генерил ключ
а вообще посмотри логи
перезапусти sshd -d и наблюдай что происходит
если бы я мог... Он в другом городе. Все что можно будет попробовать -- перезагрузить его и все....
Изображение

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Не пускает по ssh

Непрочитанное сообщение Grishun_U_S » 2008-09-21 19:05:13

zg писал(а):
Grishun_U_S писал(а):и nmap показывает открытый 22 порт
с какого компа смотрел?
с того же с которого захожу с помощью putty
Изображение

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Не пускает по ssh

Непрочитанное сообщение Grishun_U_S » 2008-09-21 19:06:05

Между прочим, засранный /var не дает такого эффекта?
Изображение

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: Не пускает по ssh

Непрочитанное сообщение zg » 2008-09-21 19:14:48

Grishun_U_S писал(а):Между прочим, засранный /var не дает такого эффекта?
тайм аут наврядли, а что там места мало?

если пинг идёт, нмап говорит, что порт открыт, значит дело в клиенте, либо на порту сидит не sshd. Проверь - ты точно 22 порт сканил и на него пытаешься коннектиться?

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: Не пускает по ssh

Непрочитанное сообщение LMik » 2008-09-21 19:15:51

zg писал(а):
Grishun_U_S писал(а):Между прочим, засранный /var не дает такого эффекта?
тайм аут наврядли, а что там места мало?

если пинг идёт, нмап говорит, что порт открыт, значит дело в клиенте, либо на порту сидит не sshd. Проверь - ты точно 22 порт сканил и на него пытаешься коннектиться?
ггг, этож наверно БРЕНДмауер.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: Не пускает по ssh

Непрочитанное сообщение LMik » 2008-09-21 19:16:11

надо попробвоать telnet в 22 порт что скажет.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

Аватара пользователя
vintovkin
ВДВ
Сообщения: 1291
Зарегистрирован: 2007-05-11 9:39:11
Откуда: CSKA

Re: Не пускает по ssh

Непрочитанное сообщение vintovkin » 2008-09-21 19:26:25

Grishun_U_S писал(а):
~>cerber<~ писал(а):у меня такое было только один раз в жизни, когда клиент очень долго в первый раз генерил ключ
а вообще посмотри логи
перезапусти sshd -d и наблюдай что происходит
если бы я мог... Он в другом городе. Все что можно будет попробовать -- перезагрузить его и все....
а если он не загрузится?
(у меня такое было, надо было в сингл юзер заходить)

Код: Выделить всё

fsck #с какими то флагами писать ...сказёвые винты
JunOS kernel based on FreeBSD UNIX.

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: Не пускает по ssh

Непрочитанное сообщение zg » 2008-09-21 19:42:07

LMik писал(а):ггг, этож наверно БРЕНДмауер.
угу, нмап пустил, путтю забанил - изберательная политика безопасности :ROFL: не.. мне кажется тут дело в другом, хотя исключать тоже нельзя, особенно встроенный 8)

Аватара пользователя
vintovkin
ВДВ
Сообщения: 1291
Зарегистрирован: 2007-05-11 9:39:11
Откуда: CSKA

Re: Не пускает по ssh

Непрочитанное сообщение vintovkin » 2008-09-21 20:57:21

zg писал(а):
LMik писал(а):ггг, этож наверно БРЕНДмауер.
угу, нмап пустил, путтю забанил - изберательная политика безопасности :ROFL: не.. мне кажется тут дело в другом, хотя исключать тоже нельзя, особенно встроенный 8)
ага ! встроенный сразу фтопку))
JunOS kernel based on FreeBSD UNIX.

Аватара пользователя
~>cerber<~
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-06-23 0:58:32
Откуда: [UKRAINE]
Контактная информация:

Re: Не пускает по ssh

Непрочитанное сообщение ~>cerber<~ » 2008-09-21 23:22:20

серв пингуется и nmap показывает открытый 22 порт.
как-то недочитал твой пост сразу, видимо проблема на уровне фс
а кроме ssh там еще сервисы живут? и как они поживают?
;aka coolchevy
live free or die;

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Не пускает по ssh

Непрочитанное сообщение InventoR » 2008-09-21 23:52:51

dns?
ну вот и сказочке конец, кто слушал, тот молодец.

Аватара пользователя
gloom
лейтенант
Сообщения: 738
Зарегистрирован: 2008-03-13 16:29:12
Откуда: UA

Re: Не пускает по ssh

Непрочитанное сообщение gloom » 2008-09-22 0:20:26

вот вычитал
http://www.opennet.ru/opennews/art.shtml?num=18002
DoS уязвимость в OpenSSH из комплекта Debian GNU/Linux
в коментариях написано что уязвим не только деб а и другие системы

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Не пускает по ssh

Непрочитанное сообщение Grishun_U_S » 2008-09-22 9:14:57

Карочи... Вопрос решен. Перезагрузили и все стало нармуль. Че было -- ХЗ.
Изображение

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: Не пускает по ssh

Непрочитанное сообщение LMik » 2008-09-22 10:20:44

zg писал(а):
LMik писал(а):ггг, этож наверно БРЕНДмауер.
угу, нмап пустил, путтю забанил - изберательная политика безопасности :ROFL: не.. мне кажется тут дело в другом, хотя исключать тоже нельзя, особенно встроенный 8)
Хы а ты думаешь как он работает? У него есть список приложений которым разрешен доступ в инет или не разрешен.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

Аватара пользователя
~>cerber<~
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-06-23 0:58:32
Откуда: [UKRAINE]
Контактная информация:

Re: Не пускает по ssh

Непрочитанное сообщение ~>cerber<~ » 2008-09-22 10:44:44

Grishun_U_S писал(а):Карочи... Вопрос решен. Перезагрузили и все стало нармуль. Че было -- ХЗ.
советую изучить
/var/log/messages
/var/log/authlog
если не желаешь, чтоб такое еще раз повторилось, и я б на пока включил режим отладки, на пару дней, может чего, или кого интерсного увидишь
;aka coolchevy
live free or die;

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Не пускает по ssh

Непрочитанное сообщение Grishun_U_S » 2008-09-22 15:05:44

:oops: :oops: :oops:
сей странный эффект возникает после того как обновляю правила фаера. Чуваки, писавшие про фаер были правы... НО!
Те же самые правила включены в rc.conf но эффект не проявляется.
Ситуэйшен : после перезагрузки делаем

Код: Выделить всё

#pfctl -sr 
<пусто!>
хотя правила там есть, вот файл :

Код: Выделить всё

# macro definitions
int_if = "vr0"
ext_if = "tun0"
ssh_port = "22"
squid_port = "8080"
icmp_types = "{ echoreq, unreach }"

# global options
set block-policy return
set skip on lo0
set skip on rl0
scrub in all

# NAT & rdr
# no nat

# RULES
#antispoof quick for $int_if
#antispoof quick for $ext_if
#block all
pass all

#pass in log proto tcp from any to { $int_if , $ext_if } port $ssh_port flags S/SAFR synproxy state
#pass in on $int_if proto tcp from $int_if:network to $int_if port $squid_port flags S/SAFR synproxy state
#pass in on $int_if proto tcp from $int_if:network to $int_if port www flags S/SAFR synproxy state
#pass out from $ext_if to any flags S/SAFR modulate state
### TEMP!
#pass out from $int_if to any flags S/SAFR modulate state

#pass in on $int_if proto tcp from $int_if:network to $int_if port ftp flags S/SAFR synproxy state
#pass in on $ext_if proto tcp from any to $ext_if port www flags S/SAFR synproxy state
#pass in on $ext_if proto tcp from any to $ext_if port 8080 flags S/SAFR synproxy state
### TEMP!

#pass log inet proto icmp all icmp-type $icmp_types
пробовал выполнять проверку синтаксиса правил

Код: Выделить всё

#pfctl -nf /usr/local/etc/pf.conf
ошибок не выдает.

Вывод ifconfig

Код: Выделить всё

$ ifconfig -a
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:e0:4c:57:f3:7c
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:19:21:41:cd:3c
        inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
pfsync0: flags=0<> metric 0 mtu 1460
        syncpeer: 224.0.0.240 maxupd: 128
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33204
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
        inet 80.234.104.* --> 88.200.222.254 netmask 0xffffffff
        Opened by PID 454
Изображение