Настройка ssh доступа на RHEL
Модератор: Bizdelnick
Настройка ssh доступа на RHEL
Помогите открыть доступ по ssh. Сделал все что было описано здесь, кроме настроек iptables т.к. система у меня только установлена (RHEL 6.5) и iptables в ней по моему нет. По крайней мере через rpm -qa | less я iptables не нашел. Так как у меня установлена графическая оболочка зашел в настройки файерволла проверить доверяемые приложения, но ssh там уже отмечено как доверенное приложение. В /etc/hosts.allow добавил 192.168.1.0/255.255.255.0.
Что еще нужно сделать?
P.S. От машин в сети пинг до линукс машины есть.
Что еще нужно сделать?
P.S. От машин в сети пинг до линукс машины есть.
Всегда думай то, что говоришь и никогда не говори то, что думаешь.
Re: Настройка ssh доступа на RHEL
Весьма маловероятно что-бы в системе не было iptables, попробуй /sbin/iptables например.
sshd перезапускал? Как пытаешься подключаться к серверу?
sshd перезапускал? Как пытаешься подключаться к серверу?
- Bizdelnick
- Модератор
- Сообщения: 20793
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Настройка ssh доступа на RHEL
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Настройка ssh доступа на RHEL
Не перезапускал, но в System-Administartion-Services у демона статус This service is enabled/This service is running.
Кстати там же посмотрел и iptables. У демона такой же статус This service is enabled/This service is running.
Подключаться пытаюсь через PuTTY.
openssh-daemon (pid 2040) is running
tcp LISTEN 0 128 *:22
users:(("sshd,2040,3))
-A INPUT -p tcp -m state --state NEW -m ctp --dport 22 -j ACCEPT
Всегда думай то, что говоришь и никогда не говори то, что думаешь.
Re: Настройка ssh доступа на RHEL
У вас кажется политики по умолчанию DROP. Так попробуйте:
Но могу ошибаться) iptables -nvL покажет политики по умолчанию. Если цепочки пустые, то будет, что-то вроде этого:
ЗЫ вдруг поможет)
Правка:
Извиняюсь, что-то сейчас вдруг дошло, что у вас с iptables все впорядке. Поторопился)
Хотя правило неправильное, но рискну предположить, что оно не влияет:
Код: Выделить всё
#!/bin/sh
#Определяем iptables
IPTABLES="/usr/sbin/iptables"
#Выставляем все политики по умолчанию
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
#стираем все правила
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
#стираем все нестандартные цепочки
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
Но могу ошибаться) iptables -nvL покажет политики по умолчанию. Если цепочки пустые, то будет, что-то вроде этого:
Код: Выделить всё
:~# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
ЗЫ вдруг поможет)
Правка:
Извиняюсь, что-то сейчас вдруг дошло, что у вас с iptables все впорядке. Поторопился)
Хотя правило неправильное, но рискну предположить, что оно не влияет:
Код: Выделить всё
:~#iptables -A INPUT -p tcp -m state --state NEW -m ctp --dport 22 -j ACCEPT
iptables v1.4.14: Couldn't load match `ctp':No such file or directory
Re: Настройка ssh доступа на RHEL
Попытка номер 2)
Если со стороны сети нареканий нет, то нужно изучить конфиг sshd_conf:
Нужно перепроверить всю запрещающую конфигурацию sshd_conf, hosts.deny, hosts.allow. Я к тому, что в приведенном мануале приконнектиться может только пользователь admin и например руту доступ запрещен.
Еще, как вариант можно логи sshd посмотреть по приведенной вами ссылке судя по описанию они должны быть в /var/log/secure.
Надеюсь поможет)
Поправка поправки предыдущего поста:
Если у вас иксовая оболочка для файрвола с разрешающими политиками, то политика по умолчаню должна быть DROP, a в таком случае iptables-save не может выдать вам результат, который вы привели, потому как пинг проходит.
Если со стороны сети нареканий нет, то нужно изучить конфиг sshd_conf:
Port 22
Protocol 2
ListenAddress 0.0.0.0
SyslogFacility AUTHPRIV
LogLevel INFO
LoginGraceTime 60
PermitRootLogin no
AllowUsers admin
MaxAuthTries 3
PrintLastLog yes
PasswordAuthentication yes
ChallengeResponseAuthentication no
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
UsePAM yes
X11Forwarding no
Subsystem sftp /usr/libexec/openssh/sftp-server
Нужно перепроверить всю запрещающую конфигурацию sshd_conf, hosts.deny, hosts.allow. Я к тому, что в приведенном мануале приконнектиться может только пользователь admin и например руту доступ запрещен.
Еще, как вариант можно логи sshd посмотреть по приведенной вами ссылке судя по описанию они должны быть в /var/log/secure.
Надеюсь поможет)
Поправка поправки предыдущего поста:
Если у вас иксовая оболочка для файрвола с разрешающими политиками, то политика по умолчаню должна быть DROP, a в таком случае iptables-save не может выдать вам результат, который вы привели, потому как пинг проходит.
- Bizdelnick
- Модератор
- Сообщения: 20793
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Настройка ssh доступа на RHEL
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Настройка ssh доступа на RHEL
конфиг в памяти, заново читается с диска при рестарт
и попробуйте ссш клиент и неткат на внешний ип
а после, service iptables stop
Re: Настройка ssh доступа на RHEL
Bizdelnick писал(а): ↑16.05.2014 20:18Trojan
Вывод iptables-save покажите, пожалуйста, полностью.
И /etc/ssh/sshd_config.
Код: Выделить всё
[root@firewall Desktop]# iptables-save
# Generated by iptables-save v1.4.7 on Fri May 16 22:26:19 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [356197506:359694501988]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
Код: Выделить всё
Port 22
#AddressFamily any
ListenAddress 0.0.0.0
#ListenAddress ::
# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO
# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys
#AuthorizedKeysCommand none
#AuthorizedKeysCommandRunAs nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
PasswordAuthentication yes
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no
# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
#KerberosUseKuserok yes
# GSSAPI options
#GSSAPIAuthentication no
GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
#UsePAM no
UsePAM yes
# Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#ShowPatchLevel no
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
# no default banner path
#Banner none
# override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server
# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# ForceCommand cvs server
Всегда думай то, что говоришь и никогда не говори то, что думаешь.
Re: Настройка ssh доступа на RHEL
Попробуй подключиться к 22 порту сервера утилитой telnet или nc (кажется telnet в последних виндах выпилили). В cmd набери telnet SERVER_IP 22 где SERVER_IP это IP сервера на котором работает sshd (если telnet нету, то замени его на nc, или netcat, остальное то-же самое). Ну и скопируй что он выдаст.
PuTTY какую ошибку выдаёт при попытке подключиться.
PuTTY какую ошибку выдаёт при попытке подключиться.
Re: Настройка ssh доступа на RHEL
Как я понимаю эти правила(для input, forward) перечеркивают reject стоящий ниже по цепочке, вкупе с политкой по умолчанию output у вас не должно ничего блокироваться для этих интерфейсов:
Но для чистоты эксперимента можете на всякий случай временно вообще отключить(приводил выше, как это сделать)
По поводу конфига наверное не подскажу, в моем аутентификация через rsa.
По поводу RHEL, PuTTY и GSSAPI вот может поможет
Код: Выделить всё
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
Но для чистоты эксперимента можете на всякий случай временно вообще отключить(приводил выше, как это сделать)
По поводу конфига наверное не подскажу, в моем аутентификация через rsa.
По поводу RHEL, PuTTY и GSSAPI вот может поможет
Re: Настройка ssh доступа на RHEL
Вобщем поднял виртуальную машину с тем же дистрибутивом ровно точто так же как и реальную. Сконфигурировал все необходимые настройки как на реальной машине. Работает.
Остается гадать почему же на реальной машине не работает. Попробую заново переустановить.
Остается гадать почему же на реальной машине не работает. Попробую заново переустановить.
Всегда думай то, что говоришь и никогда не говори то, что думаешь.
- Bizdelnick
- Модератор
- Сообщения: 20793
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Настройка ssh доступа на RHEL
Trojan писал(а): ↑16.05.2014 21:32Код: Выделить всё
#HostKey /etc/ssh/ssh_host_rsa_key #HostKey /etc/ssh/ssh_host_dsa_key
А это почему закомментировано?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Настройка ssh доступа на RHEL
Еще я бы проверил SeLinux вот как здесь
Re: Настройка ssh доступа на RHEL
Видимо, просто криво была установлена ОС. Переустановил и все ОК.
Всегда думай то, что говоришь и никогда не говори то, что думаешь.