Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по FreeBSD (http://forum.oszone.net/forumdisplay.php?f=10)
-   -   Не подключиться удаленно к freebsd через SSH (http://forum.oszone.net/showthread.php?t=237815)

blue_storm 03-07-2012 17:54 1945137
Не подключиться удаленно к freebsd через SSH
 
Добрый день. У меня есть сервер с freebsd 8.0, который достался мне по наследству, не могу к нему подключиться удаленно. В файле rc.conf прописано sshd_enable = "YEs", пользователь отличный от root в группе wheel заведен, конфиг демона sshd подправлен
Port 22
Protocol 2
PasswordAuthentication yes
При подключении с помощью Putty выдается сообщение Network error: connection timeout
что делать? Freebsd занимаюсь вторую неделю, поэтому отвечайте, пожалуйста, максимально подробно. У меня еще есть на виртуальной машине freebsd для тренировок и изучения, вот к ней я могу подключаться удаленно. Подозреваю, что на реальной машине закрыт порт, как проверить закрыт или нет? Как узнать есть файерволл или нет?

leonty 03-07-2012 21:57 1945274
содержимое rc.conf и sshd_config выкладывайте.

blue_storm 04-07-2012 17:50 1945858
Вот содержимое.

leonty 04-07-2012 18:20 1945878
ёшкин кот! а в текстовый файл нельзя было записаить и фрешкой перенести на место, откуда на форум пишите?

blue_storm 05-07-2012 10:20 1946223
Ну понятно, что этот способ не по фэншую, но тем не менее по существу вопроса можно что-нибудь прокомментировать? Почему удаленно не подключиться? Спасибо.

vadblm 05-07-2012 11:26 1946258
blue_storm, вы думаете, кто-то будет глаза ломать об картинки и вручную перепечатывать строки, где может быть загвоздка? Или вдруг проблема не там, вас попросят что-то ещё показать и вы снова будете устраивать фотосессию с монитором? Хотите помощи, так относитесь к потенциальным помощникам с уважением. Если не знаете как выковырять инфу в удобоваримом виде и лень гугл спросить, спросите нас, расскажем. К примеру, подключить флешку с fat/fat32 можно так:
Код:
mkdir -p /mnt/flash #создаём точку монтирования
# втыкаем флешку, в консоль должно вывалиться, какое имя устройство ей присвоено. Скажем, если в системе нет SCSI/SAS и подобных устройств, то присвоится имя da0.
mount -t msdosfs /dev/da0s1 /mnt/flash #монтируем
cp /etc/ssh/sshd_config /mnt/flash #копируем на флешку
umount /mnt/flash #размонтируем. Флешку можно извлекать

blue_storm 05-07-2012 11:53 1946275
Спасибо большое.

blue_storm 06-07-2012 10:01 1946944
Вложений: 2
вот файлы.

leonty 06-07-2012 11:03 1946984
Код:
#        $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $
#        $FreeBSD: src/crypto/openssh/sshd_config,v 1.49.2.1.2.1 2009/10/25 01:10:29 kensmith Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

# Note that some of FreeBSD's defaults differ from OpenBSD's, and
# FreeBSD has a few additional options.

#VersionAddendum FreeBSD-20090522

Port 22
Protocol 2
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile        .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# Change to yes to enable built-in password authentication.
PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable PAM authentication
#ChallengeResponseAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'no' to disable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
#UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no
#ChrootDirectory none

# no default banner path
#Banner none

# override default of no subsystems
Subsystem        sftp        /usr/libexec/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#        X11Forwarding no
#        AllowTcpForwarding no
#        ForceCommand cvs server
Код:
# -- sysinstall generated deltas -- # Fri Mar 26 13:35:07 2010
# Created: Fri Mar 26 13:35:07 2010
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
defaultrouter="212.232.69.37"
gateway_enable="YES"
hostname="gw"
ifconfig_re0="inet 212.232.69.38 netmask 255.255.255.252"
ifconfig_re1="inet 192.168.0.1 netmask 255.255.255.0"
ifconfig_re1_alias0="inet 192.168.0.54 netmask 255.255.255.0"
#
tcp_extensions="NO"
#
#static_routes="n8 n59"
#route_n8="-net 192.168.8.0/24 192.168.10.54"
#route_n59="-net 192.168.59.0/24 192.168.10.54"
svnserve_enable="YES"
svnserve_flags="-d --listen-port=3690"
svnserve_data="/home/svn/repositories"
svnserve_user="svn"
svnserve_group="svn"
sshd_enable="YES"
Цитата:
Цитата blue_storm
Подозреваю, что на реальной машине закрыт порт, как проверить закрыт или нет? »
telnet 192.168.0.1 22
Вывод не забудте закинуть сюда :)
Цитата:
Цитата blue_storm
Как узнать есть файерволл или нет? »
в вашем конкретном случае он не активен. Подробнее можно проситать здесь. Еще есть волшебный файл /etc/defaults/rc.conf. Там можно посмотреть параметры, задаваемые в файле /etc/rc.conf.

и да, ps aux | grep sshd что выдает?

blue_storm 06-07-2012 12:44 1947029
Цитата:
Цитата leonty
telnet 192.168.0.1 22
Вывод не забудте закинуть сюда »
Это нужно на фрибсд вводить или из винды можно?
Что еще нужно, кроме
Цитата:
Цитата leonty
ps aux | grep sshd что выдает? »
?
Сейчас бойца зашлю, сервер на другом конце города находится, хотелось бы взять сразу все, что может понадобиться, чтобы сто раз не ездить.

VictorSh 06-07-2012 17:10 1947184
Цитата:
Цитата blue_storm
Это нужно на фрибсд вводить или из винды можно? »
нужно с любого компа, который не сервер. В вашем случае из винды.

Цитата:
Цитата blue_storm
ps aux | grep sshd что выдает? » »
ps - аналог диспетчера задач в Windows, grep говорит, что выводить не все строчки, а только те, которые содержат подстроку sshd. То есть вас попросили проверить запущен ли демон ssh.

leonty 06-07-2012 17:25 1947196
Цитата:
Цитата VictorSh
ps - аналог диспетчера задач в Windows »
если быть точнее, то это аналог утилиты tasklist, делает моментальный снимок процессов. аналог диспетчера задач windows - top, в реально времени отображает список процессов. :) но это мелочи

blue_storm 09-07-2012 11:04 1948520
Вложений: 1
Цитата:
Цитата leonty
ps aux | grep sshd что выдает? »
root 3025 0,0 0,0 8060 1708 v0 S+ 10:51 0:00,00 grep sshd

Telepuzik 09-07-2012 11:09 1948523
Цитата:
Цитата blue_storm
root 3025 0,0 0,0 8060 1708 v0 S+ 10:51 0:00,00 grep sshd »
Судя по этому у Вас демон sshd не запущен.

blue_storm 09-07-2012 11:12 1948527
А почему? в конфиге написано sshd_enable = "YES"

Telepuzik 09-07-2012 11:29 1948537
Цитата:
Цитата blue_storm
в конфиге написано sshd_enable = "YES" »
Серер давно перезагружали??
Вывод ls /etc/rc.d | grep sshd покажите.

blue_storm 09-07-2012 11:37 1948541
Цитата:
Цитата Telepuzik
Вывод ls /etc/rc.d | grep sshd покажите. »
просто пишет sshd
Сервер сегодня перезагружался.
На всякий случай выкладываю еще вывод команды sockstat |grep ssh
root sshd 9248 3 tcp4 *:22 *:*

Telepuzik 09-07-2012 11:59 1948552
blue_storm,
Выполните /etc/rc.d/sshd start вывод покажите. Затем ps aux | grep sshd .

blue_storm 09-07-2012 12:11 1948558
Цитата:
Цитата Telepuzik
Выполните /etc/rc.d/sshd start вывод покажите. »
sshd already running? (pid=9248)
Цитата:
Цитата Telepuzik
Затем ps aux | grep sshd . »
root 14072 0,0 0,0 8060 1708 v0 S+ 12:07 0:00,00 grep sshd

попутный вопрос, а как можно сохранить выводы команд, чтобы скопировать и прикреплять к сообщению, а не набирать руками?

Telepuzik 09-07-2012 12:32 1948572
Цитата:
Цитата blue_storm
sshd already running? (pid=9248) »
Интересно. Покажите вывод netstat -an | grep 22.
Цитата:
Цитата blue_storm
а как можно сохранить выводы команд, чтобы скопировать и прикреплять к сообщению, а не набирать руками? »
Т.к. у Вас нет доступа по SSH то только перенаправлять вывод результов в файл, а потом файл копировать себе на машину и затем содержимое файлов выкладывать.

blue_storm 09-07-2012 12:40 1948578
Цитата:
Цитата Telepuzik
Интересно. Покажите вывод netstat -an | grep 22. »
tcp4 0 0 *.22 *.* LISTEN
tcp4 0 0 *.5223 *.* LISTEN
tcp4 0 0 *.5222 *.* LISTEN
tcp4 0 0 *.5229 *.* LISTEN
Цитата:
Цитата Telepuzik
то только перенаправлять вывод результов в файл »
Пожалуйста, напишите подробно как это сделать?

Telepuzik 09-07-2012 12:49 1948586
Цитата:
Цитата blue_storm
tcp4 0 0 *.22 *.* LISTEN »
Судя по этому sshd работает и слушает 22 порт. Покажите вывод ipfw show.
Цитата:
Цитата blue_storm
Пожалуйста, напишите подробно как это сделать? »
Например так ipfw show > ipfw.rules будет создан в текущей папке файл ipfw.rules в который будет записана вся информация выведенная командой ipfw show.

blue_storm 09-07-2012 16:01 1948721
Цитата:
Цитата Telepuzik
Покажите вывод ipfw show. »
ipfw:getsockopt (IP_FW_GET):Protocol not available
Кстати, оказалось, что можно подключиться по ssh из локальной сети на внешний интерфейс, а снаружи не пускает Connection refused и на внутренний интерфейс из локальной сети тоже не пускает.

Telepuzik 09-07-2012 16:14 1948727
Цитата:
Цитата blue_storm
ipfw:getsockopt (IP_FW_GET):Protocol not available »
Значит ipfw нет.
Цитата:
Цитата blue_storm
Кстати, оказалось, что можно подключиться по ssh из локальной сети на внешний интерфейс, а снаружи не пускает Connection refused и на внутренний интерфейс из локальной сети тоже не пускает. »
Очень похоже что у Вас настроен файрвол. Что выдает на команду pfctl -vsr. И вывод команды tracert www.ru с клиентской машины покажите.

blue_storm 09-07-2012 16:32 1948741
Вложений: 2
Вот.

blue_storm 09-07-2012 16:34 1948743
Цитата:
Цитата Telepuzik
Что выдает на команду pfctl -vsr. »
А что это за команда, кстати? Для чего она?

Telepuzik 09-07-2012 17:19 1948761
Цитата:
Цитата blue_storm
А что это за команда, кстати? Для чего она? »
Показывает правила файрвола. Судя по выводу у Вас настроен и работает файрвол Packet Filter . Если надо чтобы работал доступ по SSH из локальной сети придется дописывать правило доступа.

blue_storm 09-07-2012 17:24 1948765
Больше надо, чтобы можно было подключаться на внешний интерфейс из вне.

leonty 09-07-2012 20:54 1948900
забавно. откуда же он запускается....

blue_storm 11-07-2012 15:58 1950000
Цитата:
Цитата Telepuzik
Показывает правила файрвола. Судя по выводу у Вас настроен и работает файрвол Packet Filter . Если надо чтобы работал доступ по SSH из локальной сети придется дописывать правило доступа. »
Почему у меня в конфиге rc.conf не прописано pf_enable="YES", откуда запускается этот файерволл? Ну и как написать правило, чтобы можно было подключаться по ssh не только из локалки, но и, например из дома.

Telepuzik 11-07-2012 16:58 1950053
Цитата:
Цитата blue_storm
откуда запускается этот файерволл? »
Покажите вывод cat /etc/defaults/rc.conf | grep pf_enable.

blue_storm 11-07-2012 17:16 1950070
Цитата:
Цитата Telepuzik
Покажите вывод cat /etc/defaults/rc.conf | grep pf_enable. »
gw:/usr/home/admin>cat /etc/defaults/rc.conf |grep pf_enable
pf_enable="NO" # Set to YES to enable packet filter (pf)

Telepuzik 11-07-2012 17:51 1950109
blue_storm,
Покажите ls /etc/ | grep rc

vadblm 11-07-2012 17:51 1950110
Может ядро перебрано с вкомпиленым pf (device pf и пр.)

blue_storm 11-07-2012 17:59 1950120
Цитата:
Цитата Telepuzik
blue_storm,
Покажите ls /etc/ | grep rc »
gw:/usr/home/admin>ls /etc/ |grep rc
csh.cshrc
locate.rc
mail.rc
rc
rc.bsdextended
rc.conf
rc.conf.local
rc.d
rc.firewall
rc.firewall6
rc.initdiskless
rc.resume
rc.sendmail
rc.shutdown
rc.subr
rc.suspend
gw:/usr/home/admin>

Telepuzik 11-07-2012 18:02 1950123
Цитата:
Цитата blue_storm
rc.conf.local »
Вывод cat /etc/rc.conf.local покажите.

leonty 11-07-2012 22:02 1950264
Цитата:
Цитата vadblm
Может ядро перебрано с вкомпиленым pf (device pf и пр.) »
на сколько мне помнится, не зависимо от того, подгружен ли он модулем или вкомпилен в ядро, он должен быть прописан в rc.conf.
Есть у меня внутреннее извстие, что предыдущий админ мог поудалять строки из этого файла и все работает до первой перезагрузки)

vadblm 11-07-2012 22:16 1950271
Цитата:
Цитата leonty
на сколько мне помнится, не зависимо от того, подгружен ли он модулем или вкомпилен в ядро, он должен быть прописан в rc.conf »
Не, не должен. Но правила всё равно нужно откуда-то подсасывать. Если через ж… то может из /etc/rc.local или из rc.d скрипт *.sh (емнип для них исключение, не надо прописывать в rcNG, просто если есть, то подхватится).

blue_storm 11-07-2012 22:21 1950277
Цитата:
Цитата Telepuzik
Вывод cat /etc/rc.conf.local покажите. »
gw:/usr/home/admin>cat /etc/rc.conf.local
keymap="ru.koi8-r"
keychange="61 ^[K"
#
inetd_enable="YES"
sshd_enable="YES"
popa3d_enable="YES"
samba_enable="YES"
ntpdate_enable="YES"
hald_enable="YES"
dbus_enable="YES"
linux_enable="YES"
#
named_enable="YES"
sendmail_enable="YES"
# sendmail_submit_enable="YES"
# sendmail_outbound_enable="YES"
# sendmail_msp_queue_enable="NO"
mysql_enable="YES"
apache22_enable="YES"
apache22_http_accept_enable="YES"
openfire_enable="YES"
#
pureftpd_enable="YES"
pureftpd_upload_enable="YES"
#
# dovecot_enable="YES"
#
pf_enable="YES"
pf_flags=""
pflog_enable="YES"
obspamd_enable="YES"
obspamlogd_enable="YES"
obspamd_flags="-v -G 5:4:864"
obspamlogd_flags=""
#
# slapd_enable="YES"
# slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://0.0.0.0/"'
# slapd_sockets="/var/run/openldap/ldapi"
#
#
# exim_enable="YES"
# asterisk_enable="YES"
#
#
# postgresql_enable="YES"
# postgresql_initdb_flags="--encoding=utf-8 --lc-collate=C"
# postgresql_class="postgres"
# postgresql_class="default"
# postgresql_data="/usr/local/pgsql/data"
# postgresql_flags="-w -s -m fast"
#
gw:/usr/home/admin>
Цитата:
Цитата leonty
на сколько мне помнится, не зависимо от того, подгружен ли он модулем или вкомпилен в ядро, он должен быть прописан в rc.conf.
Есть у меня внутреннее извстие, что предыдущий админ мог поудалять строки из этого файла и все работает до первой перезагрузки) »
Стописят раз уже перезагружался.

vadblm 11-07-2012 22:31 1950282
Цитата:
Цитата blue_storm
pf_enable="YES"
pf_flags=""
pflog_enable="YES" »
Ну вот он и есть.
Раз явно не указано pf_rules, то они по умолчанию в /etc/pf.conf

blue_storm 11-07-2012 22:38 1950287
Цитата:
Цитата vadblm
Ну вот он и есть.
Раз явно не указано pf_rules, то они по умолчанию в /etc/pf.conf »
Подскажите, пожалуйста, как написать правило, которое разрешало бы доступ по 22 порту с определенного ip на внешний интерфейс сервера?

vadblm 11-07-2012 22:48 1950294
Цитата:
Цитата blue_storm
Подскажите, пожалуйста, как написать правило, которое разрешало бы доступ по 22 порту с определенного ip на внешний интерфейс сервера? »
pass in quick on $extif proto tcp from <IP> to ($extif) port = ssh flags S/SA keep state
Типа такого, но надо смотреть pf.conf

blue_storm 11-07-2012 23:10 1950302
Вложений: 1
Вот pf.conf

Telepuzik 11-07-2012 23:27 1950311
Цитата:
Цитата blue_storm
sendmail_enable="YES" »
А это ответ на Ваш вопрос заданный в соседней теме по поводу почтового сервера.

blue_storm 11-07-2012 23:31 1950314
Цитата:
Цитата Telepuzik
А это ответ на Ваш вопрос заданный в соседней теме по поводу почтового сервера. »
Спасибо большое, что помогли разобраться откуда, что запускается.


Время: 01:51.

Время: 01:51.
© OSzone.net 2001-