URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 44978
[ Назад ]

Исходное сообщение
"Проблемы с openssh."
Отправлено Chewby , 10-Июн-04 13:26

Проблема:
OpenSSH_3.8p1 на Gentoo 2004.1
Обращение ssh user@localhost выдает приглашение. В случае попытки захода с другого сервера ssh user@ip выдает:
$ ssh -v -v -v user@ip
OpenSSH_3.6.1p2, SSH protocols 1.5/2.0, OpenSSL 0x0090702f
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug2: ssh_connect: needpriv 0
debug1: Connecting to ip [ip] port 22.
debug1: Connection established.
debug1: identity file /home/user/.ssh/identity type -1
debug1: identity file /home/user/.ssh/id_rsa type -1
debug1: identity file /home/user/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_3.8p1
debug1: match: OpenSSH_3.8p1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_3.6.1p2
debug1: SSH2_MSG_KEXINIT sent
и все, сидим, курим бамбук. Соединение установлено, netstat -an это подтверждает на всех машинах. А ответа от сервера нет.
Другая ситуация, когда с этой машины пытаюсь коннектиться к другой по ssh:
ssh -v -v -v user@ip
OpenSSH_3.8p1, SSH protocols 1.5/2.0, OpenSSL 0.9.7d 17 Mar 2004
debug1: Reading configuration data /etc/ssh/ssh_config
debug2: ssh_connect: needpriv 0
debug1: Connecting to ip [ip] port 22.
debug1: Connection established.
debug1: identity file /user/.ssh/identity type -1
debug1: identity file /user/.ssh/id_rsa type -1
debug1: identity file /user/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version OpenSSH_3.7.1p1
debug1: match: OpenSSH_3.7.1p1 pat OpenSSH*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_3.8p1
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit: none,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: mac_init: found hmac-md5
debug1: kex: server->client aes128-cbc hmac-md5 none
debug2: mac_init: found hmac-md5
debug1: kex: client->server aes128-cbc hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
и опять курим бамбук.
В чем грабли? Я уже всю голову сломал... Машины по настройкам SSH, PAM и т.д. одинаковы. На одной все ОК, а другая просто тихо всех в сад посылает. У кого-нибудь соображения на сей счет есть? Буду очень благодарен за помощь.

Содержание

Проблемы с openssh.,LinaS, 13:50 , 10-Июн-04
- Проблемы с openssh.,Chewby, 13:55 , 10-Июн-04
  - Проблемы с openssh.,lavr, 17:05 , 10-Июн-04
    - Проблемы с openssh.,Chewby, 10:11 , 11-Июн-04
    - Проблемы с openssh.,Chewby, 10:22 , 11-Июн-04
      - Проблемы с openssh.,lavr, 10:45 , 11-Июн-04
        
        Проблемы с openssh.,Chewby, 10:59 , 11-Июн-04
Проблемы с openssh.,ihor, 11:17 , 11-Июн-04
- Проблемы с openssh.,Chewby, 11:37 , 11-Июн-04
- Проблемы с openssh.,Chewby, 11:45 , 11-Июн-04
  - Проблемы с openssh.,lavr, 12:06 , 11-Июн-04
    - Проблемы с openssh.,Chewby, 12:31 , 11-Июн-04
      - Проблемы с openssh.,Chewby, 10:32 , 15-Июн-04

Сообщения в этом обсуждении

"Проблемы с openssh."
Отправлено LinaS , 10-Июн-04 13:50

ДНС настроен на сервере?

"Проблемы с openssh."
Отправлено Chewby , 10-Июн-04 13:55

>ДНС настроен на сервере?
Нет, резолвит с другого сервера. Себя он без проблем идентифицирует при загрузке. В инет ходим.

"Проблемы с openssh."
Отправлено lavr , 10-Июн-04 17:05

>>ДНС настроен на сервере?
>
>Нет, резолвит с другого сервера. Себя он без проблем идентифицирует при загрузке.
>В инет ходим.
здесь в чем-то другом проблема:
- где брал openssh?
- файл конфигурации?
- с системой ВСЕ В ПОРЯДКЕ?

"Проблемы с openssh."
Отправлено Chewby , 11-Июн-04 10:11

>>>ДНС настроен на сервере?
>>
>>Нет, резолвит с другого сервера. Себя он без проблем идентифицирует при загрузке.
>>В инет ходим.
>
>здесь в чем-то другом проблема:
>
>- где брал openssh?
>- файл конфигурации?
>- с системой ВСЕ В ПОРЯДКЕ?
Думаю, что да. SSH, как и вся система, собирался из сырцов (Gentoo 2004.1). Настройки (ssh, pam, limits и т.д. и т.п.) были взяты из ранее собранной таким же образом машины (сменили ip, hostname, перекомпилили ядро под свои железки).
Машина, о которой мы говорим, сейчас в 10.0.0.х за исой. Машина, с которой брали настройки, сейчас с честным ip. НО! Машина, которая сейчас с честным ip, была собрана и тестилась именно в 10.0.0.х и имела тот же самый ip, что и машина, у которой траблы. Во время ее сборки в 10.0.0.х ssh работал на ура.

"Проблемы с openssh."
Отправлено Chewby , 11-Июн-04 10:22

Да, еще. Я тоже думал про ису. НО! Есть еще одна машина под мандраком в 10.0.0.х. Т.е. по идее, общаться они между собой должны без исы. В общем, не получается с мандраки на дженту по ssh по ip зайти и с дженту на мандраку. Симтомы абсолютно те же, что и описанные мной в первом сообщении.

"Проблемы с openssh."
Отправлено lavr , 11-Июн-04 10:45

>Да, еще. Я тоже думал про ису. НО! Есть еще одна машина
>под мандраком в 10.0.0.х. Т.е. по идее, общаться они между собой
>должны без исы. В общем, не получается с мандраки на дженту
>по ssh по ip зайти и с дженту на мандраку. Симтомы
>абсолютно те же, что и описанные мной в первом сообщении.
это все слова, а слова конкретных вещей не дают

"Проблемы с openssh."
Отправлено Chewby , 11-Июн-04 10:59

>>Да, еще. Я тоже думал про ису. НО! Есть еще одна машина
>>под мандраком в 10.0.0.х. Т.е. по идее, общаться они между собой
>>должны без исы. В общем, не получается с мандраки на дженту
>>по ssh по ip зайти и с дженту на мандраку. Симтомы
>>абсолютно те же, что и описанные мной в первом сообщении.
>
>это все слова, а слова конкретных вещей не дают
ОК, что хочется?

"Проблемы с openssh."
Отправлено ihor , 11-Июн-04 11:17

>debug1: SSH2_MSG_KEXINIT sent
-запрос послали и нам не ответили, либо ответили но не то
>debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
-запрос послали и нам не ответили, либо ответили но не то
причины?
--кто-то/что-то блокирует часть траффика
--пакеты портятся при передаче (напр. неисправное сетевое оборудование, или глючит софт (ядро, библиотеки, др. сервисы или сам openssh (а глючит напр. потому, что сыпался hdd и какие-нибудь файлы были покорёжены)))
--проблема с ключами на проблемной машине (попробовать их перегенерировать)
для диагностики -- запустить opesshd на проблемной машине с ключём -d (-ddd ...) и зайти с другой машины с ключём -v (-vvv ...), возможо, использовать tcpdump, чтобы проверить прохождение пакетов н а всех этапах

"Проблемы с openssh."
Отправлено Chewby , 11-Июн-04 11:37

>>debug1: SSH2_MSG_KEXINIT sent
>-запрос послали и нам не ответили, либо ответили но не то
>
>>debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
>-запрос послали и нам не ответили, либо ответили но не то
>
>причины?
>--кто-то/что-то блокирует часть траффика
Очень возможно. Только пока не найду того, кто это может делать внутри 10.0.0.х.
>--пакеты портятся при передаче (напр. неисправное сетевое оборудование, или глючит софт (ядро,
>библиотеки, др. сервисы или сам openssh (а глючит напр. потому, что
>сыпался hdd и какие-нибудь файлы были покорёжены)))
hdd отметается. На LiveCD есть ssh - с ним на этой машине такая же беда. Остается пробовать другую карточку. Спасибо за совет, сегодня попробую.
>--проблема с ключами на проблемной машине (попробовать их перегенерировать)
>
>для диагностики -- запустить opesshd на проблемной машине с ключём -d (-ddd
>...) и зайти с другой машины с ключём -v (-vvv ...),
>возможо, использовать tcpdump, чтобы проверить прохождение пакетов н а всех этапах
>
Убивал все, что можно и где можно. В PuTTY (в реестре), в ~/.ssh/ и в /etc/ssh на разных машинах - все едино :(

"Проблемы с openssh."
Отправлено Chewby , 11-Июн-04 11:45

Пробую -ddd и -vvv:
Захожу с 10.0.0.х мандраки на проблемную машину с запущенным sshd -ddd. Висим на debug1: SSH2_MSG_KEXINIT sent
Проблемная в это время дошла до
debug2: mac_init: found hmac-md5
debug1: kex: server->client aes128-cbc hmac-md5 none
debug2: mac_init: found hmac-md5
debug1: kex: client->server aes128-cbc hmac-md5 none
и опять сидим, курим бамбук.

"Проблемы с openssh."
Отправлено lavr , 11-Июн-04 12:06

>Пробую -ddd и -vvv:
>
>Захожу с 10.0.0.х мандраки на проблемную машину с запущенным sshd -ddd. Висим
>на debug1: SSH2_MSG_KEXINIT sent
>
>Проблемная в это время дошла до
>debug2: mac_init: found hmac-md5
>debug1: kex: server->client aes128-cbc hmac-md5 none
>debug2: mac_init: found hmac-md5
>debug1: kex: client->server aes128-cbc hmac-md5 none
>и опять сидим, курим бамбук.
здесь уже была похожая проблема на FreeBSD, ВРОДЕ как все правильно,
вот только человек ядро без pseudo-device pty собрал.
и все же без логов и конфигураций - трудно понять.
Дабы определиться В ЧЕМ собственно проблема - советую взять бинарный
пакет от gentoo или поставить из портов и посмотреть будет ли работать?
Если нет, думаю проблема НЕ в OpenSSH. Попробуй разрешить проблемы
по принципу: разделяй и властвуй, как-то ведь надо сужать границы поиска

"Проблемы с openssh."
Отправлено Chewby , 11-Июн-04 12:31

>здесь уже была похожая проблема на FreeBSD, ВРОДЕ как все правильно,
>вот только человек ядро без pseudo-device pty собрал.
conf от ядра с той машины, где все работает. Менялось там только специфическое железо.
>и все же без логов и конфигураций - трудно понять.
> Дабы определиться В ЧЕМ собственно проблема - советую взять бинарный
>пакет от gentoo или поставить из портов и посмотреть будет ли работать?
>
>Если нет, думаю проблема НЕ в OpenSSH. Попробуй разрешить проблемы
>по принципу: разделяй и властвуй, как-то ведь надо сужать границы поиска
Понял, спасибо. Уже собранный ssh можно достать только в составе CD с пакетами (размер соответствующий, желание отпало быстро) и в составе LiveCD. Как я уже писал, там те же траблы. Буду менять сетевуху...
Еще раз спасибо всем.

"Проблемы с openssh."
Отправлено Chewby , 15-Июн-04 10:32

Поменял сетвуху. Проблема разрешилась. Дело было именно в сетевухе :(
Еще раз спасибо всем за помощь!