[решено] SSH - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Общий по Linux (http://forum.oszone.net/forumdisplay.php?f=9)

- - [решено] SSH (http://forum.oszone.net/showthread.php?t=112027)

Artem-Samsung

22-07-2008 19:14 858621

SSH

Настройка удаленного управление системой.
Есть юзер oracle.
Он в группе root, еще и sshd.
Запускаю из внешнего компьютера программку putty
Ввоже порт и айпи - запрашивает логин и пароль. И не пускает.
Ни из какого юзера.
Фаервол выключил полностью.

Пишет такое сообщение:

Код:

login as: oracle

Using keyboard-interactive authentication.

Password:

Access denied

Using keyboard-interactive authentication.

Password:

Artem-Samsung

22-07-2008 19:15 858622

Подскажите пожалуйста в какую сторону копать, или какие то конкретные методы решения

Coutty

22-07-2008 19:53 858640

Artem-Samsung, начинать всегда следует если не с мана, так с гугла. Первая ссылка выводит на страницу, где даётся такая рекомендация:

Цитата:

кто или что мешает отключить keyboard-interactive или изменить порядок
авторизации?

варианты:
1. SSHD
# less /etc/ssh/sshd_config

2. PAM
# less /etc/pam.d/sshd
закоментировать нафик S/Key (opie), ну и kerberos до кучи, разумеется
если все это не используется

проверяется как обычно:

# ssh -v host.domain
...
debug1: Authentications that can continue: publickey,password
...

выше пример из собственной рабочей конфигурации где задан нужный
порядок и только publickey и если неудачно то password

Другой вариант описан здесь.

Я так понимаю, что локальный доступ к тому хосту всё-таки есть, иначе кто ж будет настраивать-то? ;)

Artem-Samsung

22-07-2008 19:56 858643

Спасибо, сейчас постараюсь. Просто дело в том, что обращаюсь к любимому форуму только в случае если гугл ниче не дает. В этой то области я вооще как бы не разбираюсь, и не знал даже как запрашивать в гугл проблемму. Спасибо большое

Coutty

22-07-2008 19:59 858645

Я надеюсь, что всё-таки что-то из этого поможет:) Обычно поиск по строке-ошибке что-нибудь полезное выдаёт. Или хотя бы успокаивает, если проблема нерешаема))
Я как-то тоже в этой области не разбираюсь... Но вместе веселее - вдруг других "советов" вообще не было бы? ;)

BuGfiX

22-07-2008 20:10 858653

Можно запустить еще один sshd на другом порту в режиме отладки, например:
# /usr/sbin/sshd -D -ddd -p 32
и попробовать зйти на него, попутно наблюдая что sshd выводит на экран.

Artem-Samsung

22-07-2008 20:56 858683

Код:

infotec-server:~ # /usr/sbin/sshd -D -ddd -p 32

debug2: load_server_config: filename /etc/ssh/sshd_config

debug2: load_server_config: done config len = 708

debug2: parse_server_config: config /etc/ssh/sshd_config len 708

debug1: sshd version OpenSSH_4.2p1

debug1: private host key: #0 type 0 RSA1

debug3: Not a RSA1 key file /etc/ssh/ssh_host_rsa_key.

debug1: read PEM private key done: type RSA

debug1: private host key: #1 type 1 RSA

debug3: Not a RSA1 key file /etc/ssh/ssh_host_dsa_key.

debug1: read PEM private key done: type DSA

debug1: private host key: #2 type 2 DSA

debug1: rexec_argv[0]='/usr/sbin/sshd'

debug1: rexec_argv[1]='-D'

debug1: rexec_argv[2]='-ddd'

debug1: rexec_argv[3]='-p'

debug1: rexec_argv[4]='32'

debug2: fd 3 setting O_NONBLOCK

debug1: Bind to port 32 on ::.

Server listening on :: port 32.

Generating 768 bit RSA key.

RSA key generation complete.

Где теперь дебаг увидеть?
С локальной сети кстати пишет вооще Network Error . Connection Time out
Нет, та же ошибка, внешний айпи просто нужно писать вместо внутреннего

must die

22-07-2008 22:07 858736

Artem-Samsung,

1. Для начала покажите sshd_config
2. У пользователя Oracle случайно не пустой пароль?

Artem-Samsung

25-07-2008 11:20 860713

Цитата:

Цитата must die

Artem-Samsung,
1. Для начала покажите sshd_config
2. У пользователя Oracle случайно не пустой пароль? »

Такс. Вот... убрал закомментированые строчки.
Какое лекарство пропишете? :)

Код:

PermitRootLogin yes

PasswordAuthentication no



UsePAM yes



X11Forwarding yes 



Subsystem        sftp        /usr/lib/ssh/sftp-server



AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES 

AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT 

AcceptEnv LC_IDENTIFICATION LC_ALL

Пароль не пустой. три латинских буквы.

Аlchemist

25-07-2008 11:31 860721

Попробуйте так сделать:

Код:

PermitRootLogin yes

PasswordAuthentication yes



UsePAM no

Artem-Samsung

25-07-2008 11:42 860729

хм... вроде сделал, но та же ошибка.
Возможно нужно перезагрузиться?

Аlchemist

25-07-2008 11:44 860731

sshd рестартануть нужно.
в линухе вроде так:
# /etc/init.d/sshd restart

Artem-Samsung

25-07-2008 11:52 860734

Shutting down SSH daemon done
Starting SSH daemon done

неа, ноль на масу :( не заработало

Аlchemist

25-07-2008 11:56 860739

Значит так, создаем в системе нового юзверя с паролем, добавляем его в группу wheel, пробуем зайти им.

Artem-Samsung

25-07-2008 12:03 860747

login: Alchemist
uid: 1003
Groups: users, wheel

Тот же косяк.
.. using keyboard-interactive authentication

Примечательно, что ввожу любой логин и пароль , та же ошибка

Аlchemist

25-07-2008 12:19 860767

Закомментируй в sshd_config все кроме:
Subsystem sftp /usr/lib/ssh/sftp-server
Рестарт...
?

Artem-Samsung

25-07-2008 12:23 860772

Неа... не катит (

Аlchemist

25-07-2008 12:34 860782

Попробуй так:

Код:

PermitRootLogin no

PasswordAuthentication yes

UsePAM yes

Subsystem        sftp        /usr/lib/ssh/sftp-server

Artem-Samsung

25-07-2008 12:42 860794

удалил вооще все с того файла и записал, как ты сказал (сделвав конечно резервный файлик).
Но оно опять глумится надо мною.. (((

Аlchemist

25-07-2008 13:22 860822

ОК! Копаем в другом направлении: что с фаерволом?

Artem-Samsung

25-07-2008 13:33 860831

хм... фаервол странная штука.
Захожу через YAST. нажимаю STOP FIREWALL now. Статус : Firewall is not running.
Потом кнопку - Save Settings and restart firewall. Статус - is running

Ну ладно.. заходим во вкладку Allow Services:
Имеем:
HTTP server
Remote Administration

кстати почты в исключениях не вижу.

Аlchemist

25-07-2008 13:38 860841

Значит нужно добавить 22 порт и 25,110 порты для твоего почтовика

Artem-Samsung

25-07-2008 14:27 860888

Я только очень много служб добавил в доверительную зону фаервола и интернет вырубился. Может совпадение? )
Или это и-за меня во всем офисе вырубилился интернет. Интернет идет не через меня. Все на равных правах поключены к роутеру который соеденяется с серваком которого я еще в глаза не видел

Цитата:

Цитата Аlchemist

Значит нужно добавить 22 порт и 25,110 порты для твоего почтовика »

Как правильно это сделать?

Аlchemist

25-07-2008 15:01 860911

Цитата:

Цитата Artem-Samsung

Как правильно это сделать? »

Да хз :)
Я на линухах межсетевыми экранами не занимался. IPFW rules the world! ;)

must die

28-07-2008 13:22 862664

Цитата:

Цитата Artem-Samsung

Как правильно это сделать? »

Наберите в консоли
#iptables -I INPUT -p tcp -m multiport --destination-port 22,25,110

Artem-Samsung

29-07-2008 17:09 863778

Цитата:

Цитата must die

Наберите в консоли
#iptables -I INPUT -p tcp -m multiport --destination-port 22,25,110 »

bash: iptables: command not found

Кстати, инет пал - потому что перебои в електричестве там где то было )

must die

29-07-2008 20:10 863877

Artem-Samsung,

Выполняли команду от суперпользователя?

mar	03-08-2008 01:36 866744

Artem-Samsung, а что говорит:

PHP код:


		
			
whereis iptables

HugoZoid

18-02-2011 09:28 1615924

У меня было точно такая же проблема. Решил ее путем добавления своей учетной записи в соотвествующюю группу PUTTY

Время: 00:33.