Negação de serviço do sshd

Oi pessoal,

Tenho uma situação problematica que acontece esporadicamente em um servidor opensolaris.
Constatei depois de alguns testes que o ssh nega serviço por um X motivo que eu não consigo descubrir. Cheguei a essa conclusão porque acessei root local no servidor, fiz ssh para outras maquinas, e estando nessas maquinas não consegui acessar de volta o servidor.

Vesãoi do ssh
SUNWsshd 0.5.11-0.111
opensolaris 2009

Agradeço qualquer dica ora debugar esse problema.

Está com permissão de login para o usuário root no ssh?

Enable ssh root login in Solaris 10



1. Change the file /etc/ssh/sshd_config with PermitRootLogin yes to replace PermitRootLogin no
2. restart the services
#svcadm restart svc:/network/ssh:default

alguns passos, por mais simples que pareçam... Verifique se o daemon do ssh está rodando - ps aux Verifique se a porta do ssh está escutando (aguardando conexão) - netstat -nltap Verifique se existe regras que possam bloquear a porta de conexão da uma olhada no arquivo de log pra ver se ele registra o motivo do bloqueio

Citação:

---

Postado originalmente por lufreitas

Oi pessoal,

Tenho uma situação problematica que acontece esporadicamente em um servidor opensolaris.
Constatei depois de alguns testes que o ssh nega serviço por um X motivo que eu não consigo descubrir. Cheguei a essa conclusão porque acessei root local no servidor, fiz ssh para outras maquinas, e estando nessas maquinas não consegui acessar de volta o servidor.

Vesãoi do ssh
SUNWsshd 0.5.11-0.111
opensolaris 2009

Agradeço qualquer dica ora debugar esse problema.

---

Mas que erro da exatamente ?

Eu acho que isso não é um erro!

pergunta... nesse cliente que voce esta conectando... como voce esta tentando fazer a conexão de volta para o servidor?? direto no console que voce abriu ?

Vou tentar responder a todos =]

Daniel
Temos esse servidor opensolaris e vários clientes acessam via ssh e através de workstations. Quando acontece esse problema nada incluindo root consegue fazer login pelo ssh ao server, das maquinas clientes, observei que localmente é possivel fazer login normalmente como root.
Fora dessa situação problematica o login por ssh para root esta habilitado.

Sergio
Como disse antes esse problema é exporadico, apesar que essa semana aconteceram 3 vezes, normalmente demora certa de 10 dias para se repetir (muito estranho).
Não cheguei a testar tuas dias, vou utilizalas futuramente pq esse problema vai se repetir.
O que fiz na ultima vez foi olhar os serviços com svcs -x e filtrar por ssh e esta tudo ok, nada em manutenção ou offline.
Em relação a log, tenho muita coisa no messagens do /var/adm vou colocar em uma msg separado.

Linconl
Eu fiz login local como root, fui ate outras servidores com usuario (nis)X, e tentei voltar desse servidor com o mesmo usuario para o opensolaris, pois os mesmos compartilham o usuario X. Não sei se é isso que tu queria saber, utilizer o mesmo terminal apra esse teste, simplemente abri um terminal e fiz o teste.

Montei um log as informações do /var/adm/messagens, estou muito desconfiada dessa entrada de log:
Apr 13 08:04:13 Server-Osol mDNSResponder: [ID 702911 daemon.error] Correcting TTL from 240 to 60 for 207 hp LaserJet 1320 series (C6597C)._printer._tcp.local. TXT txtvers=1

Não tenho nenhuma informação desa "impressora", não tenho maiores informações da rede de onde trabalho.
Desconfio dessa entrada porque ela esta sempre presente antes das negação de serviço e não tem nenhuma explicação logica pois dentro da rede interna não existe mais que 4 faltos.
Em relação a essa entrada fiz um post no forum do opensolaris OpenSolaris Forums : Opensolaris server problem undefined ...

Arquivo de log: Anexo 21686

mas e do cliente para o servidor ? que erro da ?

aproveita e posta o conf.

Após 3 tentativas do ssh, no teminal informa que o server não é encontrado.

Tenho essa debug do ssh-client de uma tentativa de acesso de uma maquina cliente.


OpenSSH_5.5p1 Debian-4ubuntu4, OpenSSL 0.9.8o 01 Jun 2010
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to eagle2.acad.unisc.br [10.17.0.16] port 22.
debug1: Connection established.
debug1: identity file /home/xxx/.ssh/id_rsa type -1
debug1: identity file /home/xxx/.ssh/id_rsa-cert type -1
debug1: identity file /home/xxx/.ssh/id_dsa type -1
debug1: identity file /home/xxx/.ssh/id_dsa-cert type -1
debug1: Remote protocol version 2.0, remote software version Sun_SSH_1.3
debug1: no match: Sun_SSH_1.3
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.5p1 Debian-4ubuntu4
debug2: fd 3 setting O_NONBLOCK
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: [email protected],[email protected],ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,[email protected]
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,[email protected]
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,[email protected],hmac-ripemd160,[email protected],hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,[email protected],hmac-ripemd160,[email protected],hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,[email protected],zlib
debug2: kex_parse_kexinit: none,[email protected],zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit: gss-group1-sha1-toWM5Slw5Ew8Mqkay+al2g==,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour128,arcfour256,arcfour
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour128,arcfour256,arcfour
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: ar-EG,ar-SA,cs-CZ,de,de-AT,de-CH,de-DE,de-LU,el,el-CY,el-GR,en-US,es,es-AR,es-BO,es-CL,es-CO,es-CR,es-EC,es-ES,es-GT,es-MX,es-NI,es-PA,es-PE,es-PY,es-SV,es-US,es-UY,es-VE,fr,fr-BE,fr-CA,fr-CH,fr-FR,fr-LU,he-IL,hu-HU,id-ID,it,it-IT,ja-JP,ko,ko-KR,nl-NL,pl-PL,pt-BR,ru,ru-RU,sk-SK,sv,sv-SE,zh,zh-CN,zh-HK,i-default,zh-TW
debug2: kex_parse_kexinit: ar-EG,ar-SA,cs-CZ,de,de-AT,de-CH,de-DE,de-LU,el,el-CY,el-GR,en-US,es,es-AR,es-BO,es-CL,es-CO,es-CR,es-EC,es-ES,es-GT,es-MX,es-NI,es-PA,es-PE,es-PY,es-SV,es-US,es-UY,es-VE,fr,fr-BE,fr-CA,fr-CH,fr-FR,fr-LU,he-IL,hu-HU,id-ID,it,it-IT,ja-JP,ko,ko-KR,nl-NL,pl-PL,pt-BR,ru,ru-RU,sk-SK,sv,sv-SE,zh,zh-CN,zh-HK,i-default,zh-TW
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: mac_setup: found hmac-md5
debug1: kex: server->client aes128-ctr hmac-md5 none
debug2: mac_setup: found hmac-md5
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug2: dh_gen_key: priv key bits set: 122/256
debug2: bits set: 513/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug3: check_host_in_hostfile: host eagle2.acad.unisc.br filename /home/xxx/.ssh/known_hosts
debug3: check_host_in_hostfile: host eagle2.acad.unisc.br filename /home/xxx/.ssh/known_hosts
debug3: check_host_in_hostfile: match line 2
debug3: check_host_in_hostfile: host 10.17.0.16 filename /home/xxx/.ssh/known_hosts
debug3: check_host_in_hostfile: host 10.17.0.16 filename /home/xxx/.ssh/known_hosts
debug3: check_host_in_hostfile: match line 3
debug1: Host 'eagle2.acad.unisc.br' is known and matches the RSA host key.
debug1: Found key in /home/xxx/.ssh/known_hosts:2
debug2: bits set: 509/1024
debug1: ssh_rsa_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /home/xxx/.ssh/id_rsa ((nil))
debug2: key: /home/xxx/.ssh/id_dsa ((nil))
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,publickey,password,keyboard-interactive
debug3: start over, passed a different list gssapi-keyex,gssapi-with-mic,publickey,password,keyboard-interactive
debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_lookup gssapi-keyex
debug3: remaining preferred: gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_is_enabled gssapi-keyex
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
debug2: we did not send a packet, disable method
debug3: authmethod_lookup gssapi-with-mic
debug3: remaining preferred: publickey,keyboard-interactive,password
debug3: authmethod_is_enabled gssapi-with-mic
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure. Minor code may provide more information
Credentials cache file '/tmp/krb5cc_1000' not found

debug1: Unspecified GSS failure. Minor code may provide more information
Credentials cache file '/tmp/krb5cc_1000' not found

debug1: Unspecified GSS failure. Minor code may provide more information


debug2: we did not send a packet, disable method
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/xxx/.ssh/id_rsa
debug3: no such identity: /home/xxx/.ssh/id_rsa
debug1: Trying private key: /home/xxx/.ssh/id_dsa
debug3: no such identity: /home/xxx/.ssh/id_dsa
debug2: we did not send a packet, disable method
debug3: authmethod_lookup keyboard-interactive
debug3: remaining preferred: password
debug3: authmethod_is_enabled keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug2: userauth_kbdint
debug2: we sent a keyboard-interactive packet, wait for reply

Você verificou se a partição onde ficam os logs não está cheia? Veja também se não ha limite de conexoes no kernel ou no seu firewall

Não é problema de espaço, tenho que verificar isso no kernel, alguma dica de como extraio essa informação?
Não tenho acesso as configurações do firewall da rede.

Mais informações


Acho que pode ser o MaxStartups na configuração de um sshd_config. A minha duvida é, não basta somente eu aumentar os parâmetros do MaxStartups mas sim saber o que fazer quando é atingido o limite máximo de conexão, o que fazer nesse caso?

Já "matei" todos os processos sshd e não voltou a normalidade o serviço, isso é, mesmo após matar as execuções do daemon não é liberada novas conexões ssh para a maquina, poŕem a mesma antes/durante o estouro de startups executa conexões ssh para outras maquinas.

Atualmente a configuração do sshd_config da maquina é essa:


# Copyright 2008 Sun Microsystems, Inc. All rights reserved.
# Use is subject to license terms.

Protocol 2
Port 22
ListenAddress ::
AllowTcpForwarding no
GatewayPorts no
X11Forwarding yes
X11DisplayOffset 10
X11UseLocalhost yes
MaxStartups 10:30:60
PrintMotd no
KeepAlive yes
SyslogFacility auth
LogLevel info
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
ServerKeyBits 768
KeyRegenerationInterval 3600
StrictModes yes
LoginGraceTime 600
MaxAuthTries 6
MaxAuthTriesLog 3
PermitEmptyPasswords no
PasswordAuthentication yes
PAMAuthenticationViaKBDInt yes
PermitRootLogin yes
Subsystem sftp /usr/lib/ssh/sftp-server
IgnoreRhosts yes
RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication yes

http://img.vivaolinux.com.br/comunid.../edit_ico1.png