Negação de serviço do sshd
Oi pessoal,
Tenho uma situação problematica que acontece esporadicamente em um servidor opensolaris.
Constatei depois de alguns testes que o ssh nega serviço por um X motivo que eu não consigo descubrir. Cheguei a essa conclusão porque acessei root local no servidor, fiz ssh para outras maquinas, e estando nessas maquinas não consegui acessar de volta o servidor.
Vesãoi do ssh
SUNWsshd 0.5.11-0.111
opensolaris 2009
Agradeço qualquer dica ora debugar esse problema.
Re: Negação de serviço do sshd
Está com permissão de login para o usuário root no ssh?
Enable ssh root login in Solaris 10
1. Change the file /etc/ssh/sshd_config with PermitRootLogin yes to replace PermitRootLogin no
2. restart the services
#svcadm restart svc:/network/ssh:default
Re: Negação de serviço do sshd
alguns passos, por mais simples que pareçam... Verifique se o daemon do ssh está rodando - ps aux Verifique se a porta do ssh está escutando (aguardando conexão) - netstat -nltap Verifique se existe regras que possam bloquear a porta de conexão da uma olhada no arquivo de log pra ver se ele registra o motivo do bloqueio
Re: Negação de serviço do sshd
Citação:
Postado originalmente por
lufreitas
Oi pessoal,
Tenho uma situação problematica que acontece esporadicamente em um servidor opensolaris.
Constatei depois de alguns testes que o ssh nega serviço por um X motivo que eu não consigo descubrir. Cheguei a essa conclusão porque acessei root local no servidor, fiz ssh para outras maquinas, e estando nessas maquinas não consegui acessar de volta o servidor.
Vesãoi do ssh
SUNWsshd 0.5.11-0.111
opensolaris 2009
Agradeço qualquer dica ora debugar esse problema.
Mas que erro da exatamente ?
Eu acho que isso não é um erro!
pergunta... nesse cliente que voce esta conectando... como voce esta tentando fazer a conexão de volta para o servidor?? direto no console que voce abriu ?
Re: Negação de serviço do sshd
Vou tentar responder a todos =]
Daniel
Temos esse servidor opensolaris e vários clientes acessam via ssh e através de workstations. Quando acontece esse problema nada incluindo root consegue fazer login pelo ssh ao server, das maquinas clientes, observei que localmente é possivel fazer login normalmente como root.
Fora dessa situação problematica o login por ssh para root esta habilitado.
Sergio
Como disse antes esse problema é exporadico, apesar que essa semana aconteceram 3 vezes, normalmente demora certa de 10 dias para se repetir (muito estranho).
Não cheguei a testar tuas dias, vou utilizalas futuramente pq esse problema vai se repetir.
O que fiz na ultima vez foi olhar os serviços com svcs -x e filtrar por ssh e esta tudo ok, nada em manutenção ou offline.
Em relação a log, tenho muita coisa no messagens do /var/adm vou colocar em uma msg separado.
Linconl
Eu fiz login local como root, fui ate outras servidores com usuario (nis)X, e tentei voltar desse servidor com o mesmo usuario para o opensolaris, pois os mesmos compartilham o usuario X. Não sei se é isso que tu queria saber, utilizer o mesmo terminal apra esse teste, simplemente abri um terminal e fiz o teste.
1 Anexo(s)
Re: Negação de serviço do sshd
Montei um log as informações do /var/adm/messagens, estou muito desconfiada dessa entrada de log:
Apr 13 08:04:13 Server-Osol mDNSResponder: [ID 702911 daemon.error] Correcting TTL from 240 to 60 for 207 hp LaserJet 1320 series (C6597C)._printer._tcp.local. TXT txtvers=1
Não tenho nenhuma informação desa "impressora", não tenho maiores informações da rede de onde trabalho.
Desconfio dessa entrada porque ela esta sempre presente antes das negação de serviço e não tem nenhuma explicação logica pois dentro da rede interna não existe mais que 4 faltos.
Em relação a essa entrada fiz um post no forum do opensolaris OpenSolaris Forums : Opensolaris server problem undefined ...
Arquivo de log: Anexo 21686
Re: Negação de serviço do sshd
mas e do cliente para o servidor ? que erro da ?
aproveita e posta o conf.
Re: Negação de serviço do sshd
Após 3 tentativas do ssh, no teminal informa que o server não é encontrado.
Tenho essa debug do ssh-client de uma tentativa de acesso de uma maquina cliente.
OpenSSH_5.5p1 Debian-4ubuntu4, OpenSSL 0.9.8o 01 Jun 2010
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to eagle2.acad.unisc.br [10.17.0.16] port 22.
debug1: Connection established.
debug1: identity file /home/xxx/.ssh/id_rsa type -1
debug1: identity file /home/xxx/.ssh/id_rsa-cert type -1
debug1: identity file /home/xxx/.ssh/id_dsa type -1
debug1: identity file /home/xxx/.ssh/id_dsa-cert type -1
debug1: Remote protocol version 2.0, remote software version Sun_SSH_1.3
debug1: no match: Sun_SSH_1.3
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.5p1 Debian-4ubuntu4
debug2: fd 3 setting O_NONBLOCK
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: [email protected],[email protected],ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,[email protected]
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,[email protected]
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,[email protected],hmac-ripemd160,[email protected],hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,[email protected],hmac-ripemd160,[email protected],hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,[email protected],zlib
debug2: kex_parse_kexinit: none,[email protected],zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit: gss-group1-sha1-toWM5Slw5Ew8Mqkay+al2g==,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour128,arcfour256,arcfour
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour128,arcfour256,arcfour
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: ar-EG,ar-SA,cs-CZ,de,de-AT,de-CH,de-DE,de-LU,el,el-CY,el-GR,en-US,es,es-AR,es-BO,es-CL,es-CO,es-CR,es-EC,es-ES,es-GT,es-MX,es-NI,es-PA,es-PE,es-PY,es-SV,es-US,es-UY,es-VE,fr,fr-BE,fr-CA,fr-CH,fr-FR,fr-LU,he-IL,hu-HU,id-ID,it,it-IT,ja-JP,ko,ko-KR,nl-NL,pl-PL,pt-BR,ru,ru-RU,sk-SK,sv,sv-SE,zh,zh-CN,zh-HK,i-default,zh-TW
debug2: kex_parse_kexinit: ar-EG,ar-SA,cs-CZ,de,de-AT,de-CH,de-DE,de-LU,el,el-CY,el-GR,en-US,es,es-AR,es-BO,es-CL,es-CO,es-CR,es-EC,es-ES,es-GT,es-MX,es-NI,es-PA,es-PE,es-PY,es-SV,es-US,es-UY,es-VE,fr,fr-BE,fr-CA,fr-CH,fr-FR,fr-LU,he-IL,hu-HU,id-ID,it,it-IT,ja-JP,ko,ko-KR,nl-NL,pl-PL,pt-BR,ru,ru-RU,sk-SK,sv,sv-SE,zh,zh-CN,zh-HK,i-default,zh-TW
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: mac_setup: found hmac-md5
debug1: kex: server->client aes128-ctr hmac-md5 none
debug2: mac_setup: found hmac-md5
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug2: dh_gen_key: priv key bits set: 122/256
debug2: bits set: 513/1024
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug3: check_host_in_hostfile: host eagle2.acad.unisc.br filename /home/xxx/.ssh/known_hosts
debug3: check_host_in_hostfile: host eagle2.acad.unisc.br filename /home/xxx/.ssh/known_hosts
debug3: check_host_in_hostfile: match line 2
debug3: check_host_in_hostfile: host 10.17.0.16 filename /home/xxx/.ssh/known_hosts
debug3: check_host_in_hostfile: host 10.17.0.16 filename /home/xxx/.ssh/known_hosts
debug3: check_host_in_hostfile: match line 3
debug1: Host 'eagle2.acad.unisc.br' is known and matches the RSA host key.
debug1: Found key in /home/xxx/.ssh/known_hosts:2
debug2: bits set: 509/1024
debug1: ssh_rsa_verify: signature correct
debug2: kex_derive_keys
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /home/xxx/.ssh/id_rsa ((nil))
debug2: key: /home/xxx/.ssh/id_dsa ((nil))
debug1: Authentications that can continue: gssapi-keyex,gssapi-with-mic,publickey,password,keyboard-interactive
debug3: start over, passed a different list gssapi-keyex,gssapi-with-mic,publickey,password,keyboard-interactive
debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_lookup gssapi-keyex
debug3: remaining preferred: gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_is_enabled gssapi-keyex
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
debug2: we did not send a packet, disable method
debug3: authmethod_lookup gssapi-with-mic
debug3: remaining preferred: publickey,keyboard-interactive,password
debug3: authmethod_is_enabled gssapi-with-mic
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure. Minor code may provide more information
Credentials cache file '/tmp/krb5cc_1000' not found
debug1: Unspecified GSS failure. Minor code may provide more information
Credentials cache file '/tmp/krb5cc_1000' not found
debug1: Unspecified GSS failure. Minor code may provide more information
debug2: we did not send a packet, disable method
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/xxx/.ssh/id_rsa
debug3: no such identity: /home/xxx/.ssh/id_rsa
debug1: Trying private key: /home/xxx/.ssh/id_dsa
debug3: no such identity: /home/xxx/.ssh/id_dsa
debug2: we did not send a packet, disable method
debug3: authmethod_lookup keyboard-interactive
debug3: remaining preferred: password
debug3: authmethod_is_enabled keyboard-interactive
debug1: Next authentication method: keyboard-interactive
debug2: userauth_kbdint
debug2: we sent a keyboard-interactive packet, wait for reply
Re: Negação de serviço do sshd
Você verificou se a partição onde ficam os logs não está cheia? Veja também se não ha limite de conexoes no kernel ou no seu firewall
Re: Negação de serviço do sshd
Não é problema de espaço, tenho que verificar isso no kernel, alguma dica de como extraio essa informação?
Não tenho acesso as configurações do firewall da rede.
Re: Negação de serviço do sshd
Mais informações
Acho que pode ser o MaxStartups na configuração de um sshd_config. A minha duvida é, não basta somente eu aumentar os parâmetros do MaxStartups mas sim saber o que fazer quando é atingido o limite máximo de conexão, o que fazer nesse caso?
Já "matei" todos os processos sshd e não voltou a normalidade o serviço, isso é, mesmo após matar as execuções do daemon não é liberada novas conexões ssh para a maquina, poŕem a mesma antes/durante o estouro de startups executa conexões ssh para outras maquinas.
Atualmente a configuração do sshd_config da maquina é essa:
# Copyright 2008 Sun Microsystems, Inc. All rights reserved.
# Use is subject to license terms.
Protocol 2
Port 22
ListenAddress ::
AllowTcpForwarding no
GatewayPorts no
X11Forwarding yes
X11DisplayOffset 10
X11UseLocalhost yes
MaxStartups 10:30:60
PrintMotd no
KeepAlive yes
SyslogFacility auth
LogLevel info
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
ServerKeyBits 768
KeyRegenerationInterval 3600
StrictModes yes
LoginGraceTime 600
MaxAuthTries 6
MaxAuthTriesLog 3
PermitEmptyPasswords no
PasswordAuthentication yes
PAMAuthenticationViaKBDInt yes
PermitRootLogin yes
Subsystem sftp /usr/lib/ssh/sftp-server
IgnoreRhosts yes
RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication yes
http://img.vivaolinux.com.br/comunid.../edit_ico1.png