LINUX.ORG.RU

Проблема с ssh севером при обновлении на Debian12

 ,


0

1

Здравствуйте!

Появилась непонятная проблема на одном из серверов (железных) после обновления с 11 до 12 Debian. Перестает работать удаленный доступ по ssh после systemctl restart ssh или systemctl enable ssh. (Connection refused) Или просто после перезагрузки. Локальный доступ по адресу 0.0.0.0 работает. В логах никаких изменений. Даже на уровне Debug. ssh.service – активен.

После переустановки пакета openssh-server все работает отлично. Единственное, что меняю в sshd_config, – порт. Раньше подобных проблем не наблюдалось. На других машинах все нормально. Грешил на сетевуху. Даже фирмварь на нее установил. Изменений нет.

Если я правильно понимаю, то при переустановке пакета меняются только ключи, которые создаются заново.

  • Ядро 6.1.0-13-amd64.
  • Файерволлы не установлены.
  • Сервер далеко, физического доступа нет.

Куда копать?


root заблокирован по умолчанию. Логиниться нужно по юзеру, а в рута уже потом нырять. PermitRootLogin yes в /etc/ssh/ssh_config, но лучше оставить дефолт.

Hertz ★★★★★
()
Ответ на: комментарий от Hertz

Благодарю! Я в курсе.

Тут проблема все же посерьезнее…

cm044
() автор топика

Я не большой специалист, но кажется sshd перезапускать нужно. И зачем менять порт? Со стороны клиента ты указал изменение?

GREAT-DNG ★★★★
()
Последнее исправление: GREAT-DNG (всего исправлений: 2)
Ответ на: комментарий от GREAT-DNG

Да, это так. Но в Debian и Ubuntu теперь вся служба ssh просто называется. Согласен, что это треш. (хотя в Debian симлинк есть. В Ununtu – не знаю)

Порт меняю, т.к стандартные закрыты провайдером из-за атак. Это не моя прихоть.

Да, все абсолютно идентично. И мистика. При apt purge openssh-server и последующем apt install openssh-server все работает. А при systemctl restart ssh удаленный доступ отваливается, а локальный остается.

cm044
() автор топика
Ответ на: комментарий от cm044

Да, все абсолютно идентично. И мистика. При apt purge openssh-server и последующем apt install openssh-server все работает.

Конфиг в этот момент получается стандартный?

Порт меняю, т.к стандартные закрыты провайдером из-за атак.

Могли открыть уже?

GREAT-DNG ★★★★
()
Последнее исправление: GREAT-DNG (всего исправлений: 1)
Ответ на: комментарий от greenman

Да. Обновлен полностью.

Но Вы меня натолкнули на одну мысль. И я начал тестить сеть, поднимая sshd на разных портах. И кое-что обнаружил. (Проблема на уровне безопасности) Но об этом уже в понедельник напишу, т.к. сейчас нет возможности связаться ни с народом из серверной, ни с провайдером.

Спасибо!

cm044
() автор топика

У тебя совершенно запутанное описание проблемы.

Что значит «перестаёт работать»? Нет такого, есть «что я ожидаю увидеть» - «что я увидел», а у тебя ничего не указано.

Ты пишешь что менял порт - когда менял? Причём тут обновление или переустановки?

Переустанавливать пакет в дебиане (и в большинстве дистров) это бесполезная затея, это не винда.

Поскольку ты не уточнил, что значит «перестаёт работать», ответить на вопрос «куда копать» затруднительно. Но всё-таки, посмотри логи sshd в момент того, когда у тебя «не получается».

firkax ★★★★★
()

Посмотри разницу в

systemctl status ssh

в обоих случаях

Мне часто в непонятных ситуациях с ssh помогало

ssh -vvv user@host

Но судя по (Connection refused) в твоем случае порт просто недоступен для внешних коннекшенов и до аутентификации дело вообще не доходит

alx777 ★★
()
Ответ на: комментарий от cm044

Проблема решена! Всем большое спасибо. Проблема оказалась не у меня, а у коллег. Порт приоткрывался на другой машине с тем же ip. Они сейчас ищут дальше.

У меня все хорошо. SSHD показал себя с очень хорошей стороны, просто отфутболивая сомнительные соединения. Так что грешил я на него зря.

cm044
() автор топика
Ответ на: комментарий от symon2014

В 12 дебе идёт openssh в котором по умолчанию заблокировано подключение извне сразу под рутом. Сколько угодно правильный пароль вводи при ssh root@host, хост пошлёт лесом.

Hertz ★★★★★
()

Я писал когда-то . На 12 версии при загрузке падает sshd с ошибкой port already use или как-то так, не дословно, но смысл ясен. Менять порт не вариант - все то же самое. Делаешь systemctl restart ssh и все нормально…

verh010m
()
Ответ на: комментарий от symon2014

да быть такого не может! %)
у меня сейчас «PermitRootLogin prohibit-password»
// но фишка в том, что «root» имя которое есть у всех (ну, на 99% машин), и делов кул хацкеру - только в подборе пароля, поэтому и предпочтительно запретить вход из сетки по паролю. По ключу более секъюрно.

metawishmaster ★★★★★
()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.