ssh probléma: ssh_exchange_identification

[quote:176a7e9f81="m4ki"]host.allow:
sshd: .hu EXCEPT UNKNOWN PARANOID

majd a fentit kikommetezve így:
sshd: ip1 EXCEPT UNKNOWN PARANOID

host.deny:
ALL: UNKNOWN PARANOID

gondolom így nem tudtál bejelentkezni, ugye?
(és feltételezem hogy elírtad csak a host.allow, host.deny neveket a hosts.allow és a hosts.deny helyett)

unknown problémás lehet ha olyan hosztról próbálsz bejelentkezni ahol a reverse dns-t nem tudja feloldani, ahogy azt hiszem a topic elején is szó volt erről.
paranoid akkor jelenthet szintén problémát ha a hostnév nem egyezik az ip címmel.
ha emiatt nem tudtál bejelentkezni akkor elméletileg a /var/log/auth.log fájlnak tartalmaznia kell erre utaló egy bejegyzést.

1ként próbaképp except nélkül kellett volna szerintem kezdened - így utólag persze könnyű - de akkor megspóroltál volna egy fordítást, aztán egymás után kipróbálni az excepteket ha nem vagy benne biztos.

ha ezek miatt nem m1 talán az jelenthet ideiglenes megoldást ha a hosts fájlba beírod az ipt meg egy hostnevet, és ha teheted a hosts.allow-ban a .hu-t azért hanyagold na meg a .kr -t is :) csak a legszükségesebb hostokat engedélyezd.

a hosts.deny-ba szerintem nem a legjobb választás amit írtál, ALL: ALL -t ajánlanám inkább.

Hi!

Hat, be van regisztralva a reverz rendesen, de meg mindig nem megy. Csak ez az egy server nem megy, es csak errol az alhalozatrol. Van valakinek valami otlete?

By(t)e
TBS::Antiemes

[quote:5f64741783="testerlnx"]"ssh_exchange_identification: Connection closed by remote host" -ot dobal a server-em mikor megprobalok ra ssh-zni...
Nem tudjátok mi lehet a probléma?

Próbálj egy ssh -v-t, az több dolgot kiír.

Amúgy gugli azt írja, hogy a /etc/host.allow -ban kell turkálni a szerveren.

[quote:a0570dc7d0="testerlnx"]debug1: identity file /home/user/.ssh/identity type -1
debug3: Not a RSA1 key file /home/user/.ssh/id_rsa.
debug2: key_type_from_name: unknown key type '-----BEGIN'
debug3: key_read: missing keytype
debug3: key_read: missing whitespace
debug3: key_read: missing whitespace

Hát úgy néz ki, valami nem stimmol a kulcsoddal. Honnan van kulcsod? Kulcs nélkül be tudsz lépni? Nem lehet, hogy a privát kulcsod van id_rsa.pub-nak elnevezve?

Nekem akkor irta ezt, amikor access.allowba beirtam, hogy csak .hurol lehessen sshzni, es egy olyan geprol probaltam bejelentkezni, aminek nem volt reverse, ergo nem .hu volt, es igy tiltotta le a klienst.

Hy!

Az igazat megvalva a 'nem megy'-t ara értetttem, hogy egyálltalán nem használja a hosts.allow deny fájlkot és mindenki kénye kedveszerint be tud jelentkezni.

A file nevét igen elírtam, de nézd el nekem mert egész este dolgoztam :oops:

Szóval nekem az a problémám hogy hiába állítom be ezt a két filet nem használja őket.

Elnézést a félreértésért...

Hi!

Valaszolok a sajat kerdesemre. A hibat az okozta, hogy a NATboxon a lo eszkoz nem volt felhuzva. Viszont erdekelne, hogy ez miert volt gond... Hivjuk Mulderekat? :)

By(t)e
TBS::Antiemes

Hi!

Ssh-val kapcsolatban lenne egy kerdesem. Nem akartam uj threadet nyitni, mert a hibauzenet ugyanaz.

[code:1:13caeeec33]antiemes@MrFusion:~$ ssh -v -l vakulya dcs.vein.hu
OpenSSH_3.8.1p1 Debian-8.sarge.4, OpenSSL 0.9.7e 25 Oct 2004
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to dcs.vein.hu [193.6.41.100] port 22.
debug1: Connection established.
debug1: identity file /home/antiemes/.ssh/identity type -1
debug1: identity file /home/antiemes/.ssh/id_rsa type -1
debug1: identity file /home/antiemes/.ssh/id_dsa type -1
ssh_exchange_identification: Connection closed by remote host
antiemes@MrFusion:~$[/code:1:13caeeec33]

Es mashonnan be tudok sshzni ide, sot mashova is be tudok sshzni.

Ha minden igaz, akkor azota van ez, miota a NATboxunk uj IP-t kapott. Egyebkent ez a server semelyik geprol nem enged be, ami ezen az alhalon van.

Elore is koszi a segitesget.

By(t)e
TBS::Antiemes

Gep reverse stimmel, amirol sshzni akarsz? Az szokta nalunk ezt okozni, hogy nem stimmel a reverz, a server meg be van allitva, hogy csak akkor engedjen be, ha elo reverze van a gepnek. (Pl mert be van allitva sshhoz, hogy nezze a hosts.allow file-t, ahova pl hostnevvel vannak beirva a dolgok, ami emiatt reverse-t akar nezni.) Masik gepre lehet, h nincs ez bekapcsolva, azert nem enged be. Ha nezel egy syslogot, amikor bejelentkezni probalsz, akkor ha ez az oka, akkor kiirja.

onyx

Hi!

A reverz tenyleg nem jo. Koszi. Majd beszelek a DNS karbantartojaval, hogy csinalja meg.

By(t)e
TBS::Antiemes

[quote:7cf35c2bab="m4ki"]Az igazat megvalva a 'nem megy'-t ara értetttem, hogy egyálltalán nem használja a hosts.allow deny fájlkot és mindenki kénye kedveszerint be tud jelentkezni.
...
Szóval nekem az a problémám hogy hiába állítom be ezt a két filet nem használja őket.

hm, érdekes ilyet még soha nem tapasztaltam, pont az ellenkezőjére gondoltam...

[quote:7cf35c2bab="m4ki"]A file nevét igen elírtam, de nézd el nekem mert egész este dolgoztam
...
Elnézést a félreértésért...

semmi probléma, azért írtam le hogy hátha csak ennyire triviális a megoldás...

[quote:e39cea0111="antiemes"]A hibat az okozta, hogy a NATboxon a lo eszkoz nem volt felhuzva. Viszont erdekelne, hogy ez miert volt gond...

szerintem erre senki nem gondolt volna ;-)
azon csodálkozom, hogy sshnál jött elő a probléma, és minden más rendben ment...

Hy!

És azt, hogy értétek el hogy ssh megszürje a hostokat amik csatlakozni akarnak rá?

A segítséget előre is köszönöm.

Hi!

Elvileg /etc/hosts.allow, /etc/hosts.deny, de sose hasznaltam meg.
De meg lehet oldani iptablessel is.

By(t)e
TBS::Antiemes

Egyik megoldas, hogy ssht tcpwrapper tamogatassal forditod, aztan szerkeszted a hosts.allow hosts.deny fileokat, hogy csak *.hu domainrol engedjen be pl.

Hy!

Kösz onyx!

Támadt pár problémám, amit elöbb döbbenten majd mérgesen fogadtam aztán rákellet jöjjek hogy ahhoz, hogy az ssh-t tcp-wrappers-el tudjam forgatni fel kell rakjam a libwrap-dev csomagot.
Lehet mindenki más számára egyértelmű és nem is fogadta volna, ilyen modon a felmerülő problémákat de mivel ez linux-ketdő forum, leirom a tapasztalataimat, hogy mással ne forduljon elő.

Az INSTALL filet böngészve felhívja a figyelmet az openssl telepítésére, amit tegyünk meg, majd a libcrypto++-dev -et sem árt felrakni ami debian alatt apt-get -el magával húzza a libcrypto++5.2 -t. A libpam0g-dev -et sem árt ugyan nem vagyok benne biztos hogy ténylegesen kell mindekinek én még + pam suportal forgattam az ssh-t.
Én még feltelepítettem a libwrap-ruby-t is mivel elösszőr azt hittem azt hiányolja majd kiderült hogy a header file kell neki. / apt-cache search wrap | grep dev /

Elnézést kérek azoktól akik úgy gondolják fölöslegesen írtam le a tapasztalataimat, de remélem többen lesznek azok akinek ezzel esetleg segítek.
'Én örültem volna ha egy ilyet találok!!!![/code]

[quote:672c53d4b1="m4ki"]...
Az INSTALL filet böngészve felhívja a figyelmet az openssl telepítésére, amit tegyünk meg, majd a libcrypto++-dev -et sem árt felrakni ami debian alatt apt-get -el magával húzza a libcrypto++5.2 -t.
...

Debian alatt az ssh tcp-wrapperrel van fordítva, tehát emiatt felesleges volt újrafordítanod.

/usr/share/doc/ssh/README.Debian.gz:
"Problem logging in because of TCP-Wrappers
------------------------------------------

ssh is compiled with support for tcp-wrappers. So if you can no longer
log into your system, please check that /etc/hosts.allow and /etc/hosts.deny
are configured so that ssh is not blocked."

Hy!

Én próbáltam a host.allow deny filet beálítani, de nem azt az eredmény produkálta, amit elváram volna és valóban én is olvastam, hogy használja.
De nem tette.
Az etc/pam.d/ssh filet is configoltam ahogy a leírások írták hogy elérjem a kért hatást és semmi...

probald meg hogy torlod a home konyvtaradbol a .ssh konyvtarat.

nem egyeznek az elmentett kulcsok es ezert nem megy sztem.

[quote:6b15dde2b7="m4ki"]Én próbáltam a host.allow deny filet beálítani, de nem azt az eredmény produkálta, amit elváram volna és valóban én is olvastam, hogy használja.
De nem tette....

nem tudom hogy mit vártál, de ha hosts.allow-ban 'sshd: ip1 ip2 ip3', hosts.deny-ban meg pl ALL:ALL szerepel akkor ssh-val csak azokról az ipkről lehet bejelentkezni.

ha újrafordítod akkor sem lesz ennél több, jobb, szebb, meg másként sem fog működni.

host.allow:

sshd: .hu EXCEPT UNKNOWN PARANOID

majd a fentit kikommetezve így:

sshd: ip1 EXCEPT UNKNOWN PARANOID

host.deny:

ALL: UNKNOWN PARANOID

Ezekkel a beállításokkal próbáltam