LINUX.ORG.RU
ФорумAdmin

Centos 7 minimal, sshd и проблемы

 ,


0

1

Всем доброго дня! Столкнулся с такой проблемой, опишу всё по порядку.

1. развернул официальный CentOS 7 minimal, сеть получаем посредством dhcp от микротика с привязкой ip (192.168.88.100) по МАКу (в микротике проброшен порт на 192.168.88.100:50000 и на старой машине всё работало)

2. yum update, yum install mc,

3. yum install net-tools,

yum install bind-utils,

проверяем сеть Ping ya.ru - всё отлично пингуется.

4. mcedit /etc/sysconfig/selinux

выключил SELINUX=disabled, дабы не мешал пока что.

5. выключаем файрволл, чтобы точно ничего не мешало.

systemctl stop firewalld

systemctl disable firewalld

6. добавил демон в автозагрузку chkconfig sshd on

7. mcedit /etc/ssh/sshd_config - правим 22 порт на 50000

PermitRootLogin yes - мы ж экспериментируем пока что.

8. systemctl restart sshd

9. netstat -tulpn | grep sshd

tcp 0 0 0.0.0.0:50000 0.0.0.0:* LISTEN 1799/sshd

tcp6 0 0 :::50000 :::* LISTEN 1799/sshd

9.1 пробуем, подключаемся. Всё, вроде бы, хорошо, но...

10. reboot.

По идее, можно подключаться по порту 50000, но не тут то было. Putty говорит: Network connection refused

И всё, доступа к серверу по сети нет. Что смотреть, куда копать?

UPD. добавил п.9.1, не указал сразу. ДО перезагрузки ssh ходит. Стоит ребутнуть машину - всё, никак.



Последнее исправление: nevr0z (всего исправлений: 3)

Естественно, смотреть конфиг лабусовского изделия. Или, знаешь что... Чтоб быстрее понять было, запусти со своего центовского «сервера» попингатор на внешний ресурс, хоть в гугел попингуй. Спустя некоторое непостоянное время, сильно зависящее от имеющейся конфигурации мыкротыка, можно перепопробовать саконектиться из виндовса путтей.

anonymous
()
Ответ на: комментарий от anonymous

ну, я же написал... пункт 3

«проверяем сеть Ping ya.ru - всё отлично пингуется.»

Микротик не при делах тут, его конфиг не менялся. Поменялся винт в серваке. Соответственно, решил с нуля центос накатить и сразу затык на простых вещах словил.

nevr0z
() автор топика
Ответ на: комментарий от Ivan_qrt

iptables не установлен даже. SElinux выключен. Но приеду вечером, попробую.

Телнет не идёт: Подключение к ххх.ххх...Не удалось открыть подключение к этому узлу, на порт 50000: Сбой подключения

nevr0z
() автор топика
Ответ на: комментарий от anonymous

Вроде бы, раскомментировал. Но уверенности нет. Вечером перепроверю конфиг ещё раз, спасибо за наводку))

nevr0z
() автор топика
Ответ на: комментарий от anonymous

Дело не в микротике. Работал ssh на машине 192.168.88.100:50000

Сдох винт. ВИНТ в серваке, а не микротик.

Установлен центос, на машине ип тот же, порт под ssh тот же, но по нему connection refused. Что-то где-то не врубил.

nevr0z
() автор топика
Ответ на: комментарий от anonymous

Без микротика не проверить, увы.

Ещё раз, для особо уверенных в невинности мыкротыков: Не пингуются хосты в локалке Mikrotik

Ну, а почему по локалке не пингуются машины, так там криво настроенный файрвол был.

nevr0z
() автор топика

Systemctl enable ssh

anonymous
()
Ответ на: комментарий от nevr0z

А вы внимательнее почитайте. Там не «не пингуются», вообще-то, а «временами и местами не пингуются». Продолжаю упортствовать - смотреть надо в микротык. От вас же не было известий по такому случаю. Ну, лезете на порт, а девайс-то сам доступен?

anonymous
()
Ответ на: комментарий от nevr0z

iptables не установлен даже.

Ну так поставь. Он сам ничего делать не будет и прекрасно сосуществует с firewalld.

ЗЫЖ А после ребута ты ss -lnptu запускал? Sshd всё ещё на месте?

Тут либо firewalld не погашен, либо sshd не запустился, либо у сервера ip сменился. Другие варианты крайне мало вероятны.

Ivan_qrt ★★★★★
()
Ответ на: комментарий от anonymous

Там была трабла с криво накатанными правилами.

Всё доступно, кроме ssh. На других машинах нормуль всё. Дело в конфиге. Думаю, один из советов выше поможет. Но теперь нужно дождаться вечера и приехать к машине.

nevr0z
() автор топика
Ответ на: комментарий от Ivan_qrt

не ставил iptables и принудительно вырубил firewalld, дабы ничего не мешало. ip у сервака не сменился.

Сейчас не могу проверить, на месте ли sshd, нужен физический доступ теперь. В любом случае попробую поэтапно все советы. Полагаю, всё-таки в sshd_config что-то криво.

nevr0z
() автор топика
Ответ на: комментарий от anonymous

Приехал, сразу проверил. PermitEmptyPasswords была закомментирована - раскомментировал. Далее:

[root@localhost ~]# netstat -tulpn | grep sshd tcp 0 0 0.0.0.0:50000 0.0.0.0:* LISTEN 909/sshd tcp6 0 0 :::50000 :::* LISTEN 909/sshd

порт слушается.

Перегрузим сеть [root@localhost ~]# /etc/init.d/network restart Restarting network (via systemctl): [ OK ]

проверяем, есть ли в автозагрузке:

[root@localhost ~]# systemctl is-enabled sshd enabled

в автозагрузке есть

[root@localhost ~]# systemctl status sshd

● sshd.service - OpenSSH server daemon Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled) Active: active (running) since Чт 2018-11-29...

Всё, после этого смог подключиться по ssh как из локальной сети, так и извне. Вопрос, почему не мог подцепиться до этого и через сколько времени ситуация повторится?

nevr0z
() автор топика
Ответ на: комментарий от nevr0z

После перезагрузки ситуация повторилась. ssh отозвался только после того, как был локально открыт sshd_config

mcedit /etc/ssh/sshd_config

тут же со всех машин получилось зайти. А до этого - connection refused.

Как бороться с этим?..

nevr0z
() автор топика
Ответ на: комментарий от nevr0z

В общем, да. Симптомы выявлены. После перезагрузки локально заходим по root в машину и открываем файл sshd_config

Сразу же после этого с любого устройства могу попасть на сервер.

Вот тут даже догадок у меня нет, куда смотреть. В гугле на эту тему не нашел ничего подобного.

Систему с нуля поставил на другую машину - точно такая же ерунда. Нужно локально под рутом открыть файл sshd_config

nevr0z
() автор топика
Ответ на: комментарий от nevr0z

Нее.. Скорее всего у тебя ssh поднимается не сразу, а спустя какое-то время (30 секунд - 1 минута). За это время ты как раз успеваешь зайти под рутом с консоли и открыть файл sshd_config.

Смотри в сторону systemd.

bigbit ★★★★★
()
Ответ на: комментарий от bigbit

Было подозрение на это. Выдерживал полчаса для проверки. Даже через полчаса не пускает. Только открываю конфиг - всё ок.

nevr0z
() автор топика
Ответ на: комментарий от Deleted

Покажи

systemctl status sshd.socket

# systemctl status sshd.socket

● sshd.socket - OpenSSH Server Socket

Loaded: loaded (/usr/lib/systemd/system/sshd.socket; disabled; vendor preset: disabled)

Active: inactive (dead)

Docs: man:sshd(8)

man:sshd_config(5)

Listen: [::]:22 (Stream)

Accepted: 0; Connected: 0

nevr0z
() автор топика
Ответ на: комментарий от nevr0z

Тогда покажи

sysctl -a |grep ip_local_port_range

И заворачивай вывод команд в тег [ code][ /code], читать будет легче.

Deleted
()
Ответ на: комментарий от Deleted

Теперь только вечером. Отвалился ssh :(

nevr0z
() автор топика
Ответ на: комментарий от Deleted
# sysctl -a | grep ip_local_port_range
net.ipv4.ip_local_port_range = 32768    60999
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.em1.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

Приехал к серверу, перегрузил. Пока что всё работает из любых мест.

nevr0z
() автор топика
Ответ на: комментарий от nevr0z

Ну не знаю тогда, надо на логи медитировать с момента загрузки, может у тебя там сеть нормально не поднимается.

Deleted
()
Ответ на: комментарий от nevr0z

В рамках бредовых предположений:

Может это какие-то косяки с энтропией. Он её не может достаточно набрать и из-за этого не получается установить соединение? Если не трогать sshd_config, а просто залогиниться и попечатать всякой фигни, что будет? Параллельно с этим на каждом этапе проверяя доступность по ssh.

Ivan_qrt ★★★★★
()
Ответ на: комментарий от Ivan_qrt

Ну, что-то в этом есть)))

Снёс всё. Поставил с нуля в пятый раз. Те же параметры в sshd_config выставил. Вчера. До сих пор полёт нормальный. Продолжаю наблюдение)

Ах, да. В mikrotik так ничего и не правилось.

nevr0z
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.