• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst]Nach Upgrade auf 11.1 keine SSH - Verbindungen mehr!

N

Nukem36

Hacker
Hallo zusammen!

nach einem Update meiner OpenSuse 10.3 auf OpenSuse 11.1 taucht folgendes Problem auf: ich habe (hatte) mehrere Verbindungen zu Linux-Systemen (die meisten mit OpenSuse 10.3) die per ssh und key-authentication funktionierten. Nur der Benutzer "use"r hat überhaupt Zugriffsrechte, Kennwort- Authentizierung ist abgeschaltet, alles nur per Key-Auth. zugelassen, root darf sich auch nicht einloggen.

Nach dem Upgrade meines System (die anderen Kisten sind noch auf dem alten, unveränderten Stand), bekomme ich keine Verbindungen mehr zustande. Z.B. der Aufruf von

Code: 
ssh -v -v -l [user] -C -L 5900:127.0.0.1:5900 zielmaschine.dyndns.org

erhalte ich folgende Ausgaben:

OpenSSH_5.1p1, OpenSSL 0.9.8h 28 May 2008
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug2: mac_setup: found hmac-sha1
debug2: mac_setup: found hmac-md5
debug2: mac_setup: found hmac-ripemd160
debug2: mac_setup: found hmac-sha1-96
debug2: mac_setup: found hmac-md5-96
debug2: mac_setup: found umac-64@openssh.com
debug2: ssh_connect: needpriv 0
debug1: Connecting to zielmaschine.dyndns.org [IP-Adresse] port 22.
debug1: Connection established.
debug2: key_type_from_name: unknown key type '-----BEGIN'
debug2: key_type_from_name: unknown key type '-----END'
debug1: identity file /home/user/.ssh/id_rsa type 1
ssh_exchange_identification: Connection closed by remote host
Zum Vergrößern anklicken....

Ich habe schon die Keyfiles aus dem Backup zurückgespielt, da hat sich nicht geändert. Die /etc/ssh/ Keyfiles (host) sind ebenfalls identisch. Die /etc/ssh/ssh_config ist ebenfalls unverändert!

Die ID-Files stehen brav unter /home/user/.ssh (id_rsa ... ).

Nachdem ich nun seit Stunden im I-Net suche und das Studium man ssh auch nicht viel gebracht hat, bitte ich euch um Unterstützung! Ich vermute, das ich ein Versions-Problem zwischen OpenSSH 4.6p1-58 und der aktuellen OpenSSH_5.1p1 habe.

Ich stehe auf dem Schlauch ;) Kann mir da jemand runterhelfen?

Bis denn
Nukem36
 
OP
N

Nukem36

Hacker
High!

noch eine Zusatz-Information: es scheint nicht mit dem Release zusammenzuhängen! Ich habe jetzt systemmatisch eine Maschine nach der anderen probiert und eine 10.3 gefunden, auf der ich mich verbinden kann.

Dort war allerdings noch Passwort-Authentifizierung aktiv und noch kein Pub-Schlüssel für den Benutzer "user" einkopiert!

Ich geh jetzt mal zu einem entfernten System und schaue mir die logs dort an. Ich melde mich, wenn ich was interessantes finde!

Nukem36
 
R

rolle

Guru
Steht der Name user als Platzhalter da, oder heißt der wirklich so? Falls ja, lasse einmal in Deinem SSH-Befehl die eckigen Klammern weg. Und versuche einmal, explizit den Schlüssel anzugeben per '-i SCHLÜSSEL'.
 
OP
N

Nukem36

Hacker
High!

ja "user" steht nur als Platzhalter. Wollte hier nicht den realen user und auch die betr. dyndns.org-Adresse posten. Die Keyfile habe ich - mit demselben Ergebnis - ebenfalls schon per Parameter angegeben.

Auf dem Zielhost kommt in /var/log/messages:

sshd[13168]: refused connect from stgt-blblblblblblb.pool.einsundeins.de
Zum Vergrößern anklicken....

hosts.allow und hosts.deny sind ebenfalls unverändert, sollten also noch passen. Ich habe eben mal mit einem 11.0 Laptop hier im Lan eine SSH Verbindung versucht zu öffnen-> gleiches Ergebnis???? Echt seltsam....

(richtige Adresse wiederrum verstümmelt!)

Nukem36
 
OP
N

Nukem36

Hacker
Holodrio!

Nun gehts wieder überall! Was war die Ursache? Man muß wissen, das die Zeile:

sshd[14250]: refused connect from xxxxxxxxxxx.pool.einsundeins.de
Zum Vergrößern anklicken....

nicht zwangsweise heißt, das sshd die Verbindung geblockt hat!

Zur Sicherheit habe ich bei allen Ziel-Maschinen die File hosts.allow mit erlaubten Adressen "gefüttert" für die Zugriffe möglich sein sollen:

ALL: 192.168.1.0/255.255.255.0 :ALLOW
ALL: 127.0.0.1/255.255.255.0 :ALLOW
ALL: .dip0.t-ipconnect.de : ALLOW
ALL: .pool.einsundeins.de :ALLOW
Zum Vergrößern anklicken....

Bisher bin ich über meinen Provider mit einer Adresse von .dip0.t-ipconnect.de hereingekommen. Fast zeitgleich mit meiner Umstellung auf 11.1 ist auch meine Vertragsänderung aktiv geworden, deshalb fehlte die fett markierte Zeile. Seit neuestem kommen Verbindungen meinerseits also mit .pool.einsundeins.de zustande! Diese auf allen Zielhost aktualisiert/eingefügt, schon geht's wieder! Ich habe mich also quasi selber ausgesperrt und mich vom "sshd" in der Fehlermeldung irritieren lassen! Man lernt nie aus.

Um nicht wild durch die Gegend und von Zielhost zu Zielhost zu wandern, habe ich noch einen Trick angewandt: Ein Bekannter, der mit seinem Router noch in der Gruppe .dip0.t-ipconnect.de ist, hat mir den Zugang auf seine Maschine per ssh erlaubt, dort meinen Benutzer "user" eingerichtet und den Key id.rsa angelegt. Von dort aus habe ich dann einen Rechner nach dem anderen connected und die Einrichtung angepasst...

Also hat das nix mit dem Upgrade zu tun, sondern mit einem Provider- Vertragswechsel und dessen Folgen!

Vielleicht hilft's mal jemand!

Bis denn
Nukem36
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben