Discussione:
ssh da remoto non va
(troppo vecchio per rispondere)
Stefano
2008-11-29 13:44:05 UTC
Permalink
Ho un server con ssh, accessibile dalla rete locale senza problemi.

Per accedere dall'esterno ho configurato il router per il forward sulla
porta 22, tento di connettermi mi chiede l'utente e dopo la password mi dà
Access denied.

Non vorrei ci fosse qualche parametro nel file di configurazione del server
ssh per consentire l'accesso da indirizzi ip esterni alla LAN, ma non riesco
a trovarlo.

Qualche aiuto in merito ?

Grazie.
Stefano
Ale
2008-11-29 13:56:26 UTC
Permalink
Post by Stefano
Ho un server con ssh, accessibile dalla rete locale senza problemi.
Qualche aiuto in merito ?
firewall su router o pc?
Stefano
2008-11-29 15:30:55 UTC
Permalink
Post by Ale
firewall su router o pc?
Nessun firewall sul pc.
In effetti sul router c'è un firewall, ci ho dato un'occhiata e l'unico
servizio dall'esterno che blocca è IKE; non sarà mica che SSH utilizza
questo protocollo ?

Ciao.
S
Ale
2008-11-29 15:53:41 UTC
Permalink
Post by Stefano
Post by Ale
firewall su router o pc?
Nessun firewall sul pc.
In effetti sul router c'è un firewall, ci ho dato un'occhiata e l'unico
servizio dall'esterno che blocca è IKE; non sarà mica che SSH utilizza
questo protocollo ?
Ciao.
S
A volte i router anche se giri la porta verso un ip interno, lo stesso
non lasciano passare certi traffici se prima non implementi certe regole
di filtro (l'ho scoperto cercando di capire come mai non riuscivo ad
avere un id alto con amule pur avendo redirezionato le porte).

Ho provato adesso su un server remoto a fare:

telnet mioserver.dyndns.org 22

e lui mi ha risposto:

SSH-1.99-OpenSSH_5.1

Da questo capisco che il router mi lascia passare.

Prova e poi dal responso dovresti capire se ti blocca il router o il server.

Ciao.

Un consiglio: se puoi metti ssh su una porta fuori standard altrimenti
finirai per pagare la connessione solo per permettere agli
script-kiddies di farti un tentativo di accesso ogni 5 secondi....

Ciao, Ale.
Stefano
2008-11-29 16:02:58 UTC
Permalink
Post by Ale
telnet mioserver.dyndns.org 22
SSH-1.99-OpenSSH_5.1
Ecco cosa mi risponde:
Trying xx.xx.xx.xx
Connected to mioserver.dyndns.org.
Escape character is ']'.
SSH-2.0-OpenSSH_3.6p1

E qui si blocca. Dopo qualche minuto mi dà:
Connection closed by foreign host.
Devo dedurne che il router lascia passare ?
A questo punto dovrebbe essere qualcosa legato alla configurazione del
server ... ma cosa ?

Ti ringrazio.
Stefano
Ale
2008-11-29 16:14:56 UTC
Permalink
Post by Stefano
Connection closed by foreign host.
Che si blocchi e' normale, non gli hai chiesto altro che quello!

Adesso passo la palla a qualcuno piu' esperto, non prima di un cosa:

Stai provando a connetterti come root? certi demoni ssh impediscono di
fare login come root, devi entrare come utente normale e poi elevarti a
root con su una volta che sei dentro.

Ciao.
Stefano
2008-11-29 16:33:46 UTC
Permalink
Post by Ale
Stai provando a connetterti come root? certi demoni ssh impediscono di
fare login come root, devi entrare come utente normale e poi elevarti a
root con su una volta che sei dentro.
Mi sto connettendo come utente (spero che il comando dato come segue sia
corretto):
ssh nomeserver.dyndns.org 22 -l stefano

Il router è un D-Link. DSL-G524T, onestamente non ho idea se abbia un server
Linux con ssh abilitato.

Ti ringrazio per l'aiuto.
Ciao.
Stefano
Ale
2008-11-29 16:38:35 UTC
Permalink
Post by Stefano
ssh nomeserver.dyndns.org 22 -l stefano
Io di solito faccio:

ssh ***@mioserver.dyndns.org

Se invece sono su una porta fuori standard faccio:

ssh ***@mioserver.dyndns.org -p 1234

Ciao, adesso devo uscite, buona fortuna!
Ale
2008-11-29 16:21:33 UTC
Permalink
Post by Stefano
Trying xx.xx.xx.xx
Connected to mioserver.dyndns.org.
Escape character is ']'.
SSH-2.0-OpenSSH_3.6p1
Oppss, mi e' venuto in mente che quella risposta potrebbe avertela data
anche il router, se ha un firmware linux con ssh abilitato. Tu che sai
che router e' puoi risponderti!

Ciao.
Sandro
2008-11-29 16:28:26 UTC
Permalink
Post by Ale
Post by Stefano
Trying xx.xx.xx.xx
Connected to mioserver.dyndns.org.
Escape character is ']'.
SSH-2.0-OpenSSH_3.6p1
Oppss, mi e' venuto in mente che quella risposta potrebbe avertela data
anche il router, se ha un firmware linux con ssh abilitato. Tu che sai
che router e' puoi risponderti!
Ciao.
Prova a riconnetterti dall'esterno con ssh... e nel frattempo guarda il
log sul tuo server.. così capirai:
1) se ti stai facendo login effettivamente sul server e non sul router
2) perché non riesci a loggarti, probabilmente sshd stamperà qualcosa sul
syslog, messages o auth.log

Ciao.
Ale
2008-11-29 16:31:30 UTC
Permalink
Post by Sandro
Ciao.
Prova a riconnetterti dall'esterno con ssh... e nel frattempo guarda il
1) se ti stai facendo login effettivamente sul server e non sul router
2) perché non riesci a loggarti, probabilmente sshd stamperà qualcosa sul
syslog, messages o auth.log
Ciao.
Da quel che ho capito il problema di Stefano e' che si trova a qualche
km dal server (10-100-1000 boh?) per cui non li puo' leggere i log del
server se prima non riesce ad entrarci da remoto.

Ciao.
Stefano
2008-11-29 16:35:19 UTC
Permalink
Da quel che ho capito il problema di Stefano e' che si trova a qualche km
dal server (10-100-1000 boh?) per cui non li puo' leggere i log del server
se prima non riesce ad entrarci da remoto.
Accedo al server via ftp.
Se cortesemente mi dite dove posso trovare il log provo a verificare.

Grazie.
Stefano
Sandro
2008-11-29 16:49:26 UTC
Permalink
Post by Stefano
Post by Ale
Da quel che ho capito il problema di Stefano e' che si trova a qualche
km dal server (10-100-1000 boh?) per cui non li puo' leggere i log del
server se prima non riesce ad entrarci da remoto.
Accedo al server via ftp.
Se cortesemente mi dite dove posso trovare il log provo a verificare.
di solito sta in /var/log/

potrebbe essere syslog, messages o auth.log, dipende dalla configurazione
di sshd e syslogd (in pratica dalla distro)
Stefano
2008-11-29 16:49:15 UTC
Permalink
Post by Sandro
Prova a riconnetterti dall'esterno con ssh... e nel frattempo guarda il
1) se ti stai facendo login effettivamente sul server e non sul router
2) perché non riesci a loggarti, probabilmente sshd stamperà qualcosa sul
syslog, messages o auth.log
Trovati:

auth.log
Nov 29 17:39:01 stefano-desktop CRON[6299]: pam_unix(cron:session): session
opened for user root by (uid=0)

Nov 29 17:39:02 stefano-desktop CRON[6299]: pam_unix(cron:session): session
closed for user root



Messages:

Nov 29 17:37:38 stefano-desktop -- MARK --



syslog

Nov 29 17:39:02 stefano-desktop /USR/SBIN/CRON[6311]: (root) CMD ( [ -x
/usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find
/var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 |
xargs -n 200 -r -0 rm)



Non ci capisco granchè. Se riesci ad aiutarmi ...

Grazie.

Stefano
Sandro
2008-11-29 16:54:24 UTC
Permalink
Post by Sandro
Post by Sandro
Prova a riconnetterti dall'esterno con ssh... e nel frattempo guarda il
1) se ti stai facendo login effettivamente sul server e non sul router
2) perché non riesci a loggarti, probabilmente sshd stamperà qualcosa
sul syslog, messages o auth.log
auth.log
session opened for user root by (uid=0)
session closed for user root
[...]
Post by Sandro
Nov 29 17:39:02 stefano-desktop /USR/SBIN/CRON[6311]: (root) CMD ( [ -x
/usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find
/var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 |
xargs -n 200 -r -0 rm)
mmmh, no non sono questi.

dovresti avere qualcosa del genere (marcato sshd):
Nov 29 17:52:54 bell sshd[10782]: Accepted publickey for root from
192.168.75.20 port 53581 ssh2
Nov 29 17:52:54 bell sshd[10784]: pam_unix(sshd:session): session opened
for user root by root(uid=0)

o logga su un altro file o non stai facendo login su quella macchina..

Che distro è?
Stefano
2008-11-29 21:21:37 UTC
Permalink
OK RAGAZZI, FERMA TUTTO HO CAPITO IL PROBLEMA.

Come scritto da Sandro e Ale in precedenza mi stavo effettivamente loggando
sul router. Onestamente non avevo idea che il DLink avesse questa
possibilità e non so a cosa potrebbe servire, fatto sta che ho messo come
user admin e password quella di amministratore del router e sono riuscito ad
entrare:

BusyBox v0.61.pre (2007.06.28-03:04+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

Quindi immagino che il forward della porta 22 che avevo impostato non venga
neppure preso in considerazione e ogni tentativo di accesso alla porta 22 si
fermi al router.

La soluzione non può che essere quella di cambiare la porta ssh del server.

Ringrazio di cuore tutti per la cortesia e la disponibilità a risolvere il
problema.

Stefano
Tetsuya
2008-11-29 14:38:32 UTC
Permalink
Post by Stefano
Per accedere dall'esterno ho configurato il router per il forward sulla
porta 22, tento di connettermi mi chiede l'utente e dopo la password mi dà
Access denied.
Qualche aiuto in merito ?
Hai settato come si deve iptables?
--
God is real, unless if declared integer.
Powered by Debian GNU/Linux
Stefano
2008-11-29 15:34:57 UTC
Permalink
Post by Tetsuya
Hai settato come si deve iptables?
Non ci ho mai messo le mani, comunque di default dovrebbe lasciare passare
tutto.
Come posso verificarlo ? Purtroppo il computer è distante da qui e l'unico
modo che ho per accedervi è tramite ftp.

Grazie.
S
Andrea B.
2008-11-29 15:09:08 UTC
Permalink
Post by Stefano
Non vorrei ci fosse qualche parametro nel file di configurazione del server
ssh per consentire l'accesso da indirizzi ip esterni alla LAN, ma non riesco
a trovarlo.
/etc/hosts.allow
/etc/hosts.deny
/etc/ssh/sshd_config in particolare DenyUsers, AllowUsers, DenyGroups,
AllowGroups
--
Fa freddo nello scriptorium, il pollice mi duole. Lascio questa
scrittura, non so per chi, non so più intorno a che cosa...
U. Eco
Stefano
2008-11-29 15:30:59 UTC
Permalink
Post by Andrea B.
/etc/hosts.allow
Contiene solo:
sendmail: all
Post by Andrea B.
/etc/hosts.deny
Tutto commentato.
Post by Andrea B.
/etc/ssh/sshd_config in particolare DenyUsers, AllowUsers, DenyGroups,
AllowGroups
Lo incollo di seguito, ma non vedo nessuno di questi parametri.

# Package generated configuration file

# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for

Port 22

# Use these options to restrict which interfaces/protocols sshd will bind to

#ListenAddress ::

#ListenAddress 0.0.0.0

Protocol 2

# HostKeys for protocol version 2

HostKey /etc/ssh/ssh_host_rsa_key

HostKey /etc/ssh/ssh_host_dsa_key

#Privilege Separation is turned on for security

UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key

KeyRegenerationInterval 3600

ServerKeyBits 768

# Logging

SyslogFacility AUTH

LogLevel INFO

# Authentication:

LoginGraceTime 120

PermitRootLogin yes

StrictModes yes

RSAAuthentication yes

PubkeyAuthentication yes

#AuthorizedKeysFile %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files

IgnoreRhosts yes

# For this to work you will also need host keys in /etc/ssh_known_hosts

RhostsRSAAuthentication no

# similar for protocol version 2

HostbasedAuthentication no

# Uncomment if you don't trust ~/.ssh/known_hosts for
RhostsRSAAuthentication

#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)

PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with

# some PAM modules and threads)

ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords

#PasswordAuthentication yes

# Kerberos options

#KerberosAuthentication no

#KerberosGetAFSToken no

#KerberosOrLocalPasswd yes

#KerberosTicketCleanup yes

# GSSAPI options

#GSSAPIAuthentication no

#GSSAPICleanupCredentials yes

X11Forwarding yes

X11DisplayOffset 10

PrintMotd no

PrintLastLog yes

TCPKeepAlive yes

#UseLogin no

#MaxStartups 10:30:60

#Banner /etc/issue.net

# Allow client to pass locale environment variables

AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes



Grazie.

Stefano
Andrea B.
2008-11-29 19:09:48 UTC
Permalink
Stefano ha scritto:
[..]
I file mi sembrano a posto.
vediamo cosa hai nei log come ti hanno consigliato gli altri.
--
Fa freddo nello scriptorium, il pollice mi duole. Lascio questa
scrittura, non so per chi, non so più intorno a che cosa...
U. Eco
[x3m]
2008-11-30 12:06:32 UTC
Permalink
Saturday 29 November 2008 14:44: cosi` parlo` Stefano ...
Post by Stefano
Ho un server con ssh, accessibile dalla rete locale senza problemi.
Quindi con ssh <user>@<ip_locale> ti fa entrare se sei sulla rete
interna, ma con ssh <user>@<ip_internet> non riesci. Sempre con lo
stesso <user> (e != root).

Fin qui ho capito bene ?
Post by Stefano
Per accedere dall'esterno ho configurato il router per il forward
sulla porta 22, tento di connettermi mi chiede l'utente e dopo la
password mi dà Access denied.
Quindi se non hai pastrugnato col firewall direi che non e` lui che ti
blocca e che la configurazione del router e` a posto.

Se posti il file di configurazione di ssh ci si puo` dare un'occhio.

Ciao,
--
--> x3m <--
Stefano
2008-11-30 14:15:06 UTC
Permalink
Ti ringrazio per la risposta, ma se guardi il mio post delle 22.21 di ieri
sera vedrai che ho risolto il problema.
In sostanza era il router che mi rispondeva, il quale ha un server ssh
integrato (del quale ero all'oscuro) che se ne sbatteva altamente del
forward su un altro server della porta 22 e rispondeva sempre lui.
La soluzione è stata quella di spostare il server ssh in un'altra porta.
Ciao.
Stefano

Loading...