Настройка ssh доступа на RHEL

Trojan · Сообщение **Trojan** » 16.05.2014 00:52

Помогите открыть доступ по ssh. Сделал все что было описано здесь, кроме настроек iptables т.к. система у меня только установлена (RHEL 6.5) и iptables в ней по моему нет. По крайней мере через rpm -qa | less я iptables не нашел. Так как у меня установлена графическая оболочка зашел в настройки файерволла проверить доверяемые приложения, но ssh там уже отмечено как доверенное приложение. В /etc/hosts.allow добавил 192.168.1.0/255.255.255.0.

Что еще нужно сделать?

P.S. От машин в сети пинг до линукс машины есть.

MrClon · Сообщение **MrClon** » 16.05.2014 02:32

Весьма маловероятно что-бы в системе не было iptables, попробуй /sbin/iptables например.
sshd перезапускал? Как пытаешься подключаться к серверу?

Сообщение **Bizdelnick** » 16.05.2014 08:14

Trojan
Показывайте:
service sshd status
ss -tunlp
iptables-save
(все команды от имени root).

Trojan · Сообщение **Trojan** » 16.05.2014 18:42

MrClon писал(а): ↑
16.05.2014 02:32
Весьма маловероятно что-бы в системе не было iptables, попробуй /sbin/iptables например.
sshd перезапускал? Как пытаешься подключаться к серверу?

Не перезапускал, но в System-Administartion-Services у демона статус This service is enabled/This service is running.
Кстати там же посмотрел и iptables. У демона такой же статус This service is enabled/This service is running.
Подключаться пытаюсь через PuTTY.

Bizdelnick писал(а): ↑
16.05.2014 08:14
Показывайте:
service sshd status

openssh-daemon (pid 2040) is running

Bizdelnick писал(а): ↑
16.05.2014 08:14
ss -tunlp

tcp LISTEN 0 128 *:22
users:(("sshd,2040,3))

Bizdelnick писал(а): ↑
16.05.2014 08:14
iptables-save

-A INPUT -p tcp -m state --state NEW -m ctp --dport 22 -j ACCEPT

faria · Сообщение **faria** » 16.05.2014 18:52

У вас кажется политики по умолчанию DROP. Так попробуйте:

Код: Выделить всё

#!/bin/sh

#Определяем iptables
IPTABLES="/usr/sbin/iptables"

#Выставляем все политики по умолчанию
    $IPTABLES -P INPUT ACCEPT
    $IPTABLES -P FORWARD ACCEPT
    $IPTABLES -P OUTPUT ACCEPT

    $IPTABLES -t nat -P PREROUTING ACCEPT
    $IPTABLES -t nat -P POSTROUTING ACCEPT
    $IPTABLES -t nat -P OUTPUT ACCEPT

    $IPTABLES -t mangle -P PREROUTING ACCEPT
    $IPTABLES -t mangle -P OUTPUT ACCEPT

    #стираем все правила
    $IPTABLES -F
    $IPTABLES -t nat -F
    $IPTABLES -t mangle -F

    #стираем все нестандартные цепочки
    $IPTABLES -X
    $IPTABLES -t nat -X
    $IPTABLES -t mangle -X

Но могу ошибаться) iptables -nvL покажет политики по умолчанию. Если цепочки пустые, то будет, что-то вроде этого:

Код: Выделить всё

:~# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

ЗЫ вдруг поможет)
Правка:
Извиняюсь, что-то сейчас вдруг дошло, что у вас с iptables все впорядке. Поторопился)
Хотя правило неправильное, но рискну предположить, что оно не влияет:

Код: Выделить всё

:~#iptables -A INPUT -p tcp -m state --state NEW -m ctp --dport 22 -j ACCEPT
iptables v1.4.14: Couldn't load match `ctp':No such file or directory

faria · Сообщение **faria** » 16.05.2014 19:45

Попытка номер 2)
Если со стороны сети нареканий нет, то нужно изучить конфиг sshd_conf:

Port 22
Protocol 2
ListenAddress 0.0.0.0
SyslogFacility AUTHPRIV
LogLevel INFO
LoginGraceTime 60
PermitRootLogin no
AllowUsers admin
MaxAuthTries 3
PrintLastLog yes
PasswordAuthentication yes
ChallengeResponseAuthentication no
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
UsePAM yes
X11Forwarding no
Subsystem sftp /usr/libexec/openssh/sftp-server

Нужно перепроверить всю запрещающую конфигурацию sshd_conf, hosts.deny, hosts.allow. Я к тому, что в приведенном мануале приконнектиться может только пользователь admin и например руту доступ запрещен.

Еще, как вариант можно логи sshd посмотреть по приведенной вами ссылке судя по описанию они должны быть в /var/log/secure.
Надеюсь поможет)

Поправка поправки предыдущего поста:
Если у вас иксовая оболочка для файрвола с разрешающими политиками, то политика по умолчаню должна быть DROP, a в таком случае iptables-save не может выдать вам результат, который вы привели, потому как пинг проходит.

Сообщение **Bizdelnick** » 16.05.2014 20:18

Trojan
Вывод iptables-save покажите, пожалуйста, полностью.
И /etc/ssh/sshd_config.

moonglow · Сообщение **moonglow** » 16.05.2014 20:31

Trojan писал(а): ↑
16.05.2014 18:42
MrClon писал(а): ↑
16.05.2014 02:32
Весьма маловероятно что-бы в системе не было iptables, попробуй /sbin/iptables например.
sshd перезапускал? Как пытаешься подключаться к серверу?

Не перезапускал, но в System-Administartion-Services у демона статус This service is enabled/This service is running.
Кстати там же посмотрел и iptables. У демона такой же стату

конфиг в памяти, заново читается с диска при рестарт
и попробуйте ссш клиент и неткат на внешний ип
а после, service iptables stop

Trojan · Сообщение **Trojan** » 16.05.2014 21:32

Bizdelnick писал(а): ↑
16.05.2014 20:18
Trojan
Вывод iptables-save покажите, пожалуйста, полностью.
И /etc/ssh/sshd_config.

Код: Выделить всё

[root@firewall Desktop]# iptables-save
# Generated by iptables-save v1.4.7 on Fri May 16 22:26:19 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [356197506:359694501988]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Код: Выделить всё

Port 22
#AddressFamily any
ListenAddress 0.0.0.0
#ListenAddress ::

# Disable legacy (protocol version 1) support in the server for new
# installations. In future the default will change to require explicit
# activation of protocol 1
Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile     .ssh/authorized_keys
#AuthorizedKeysCommand none
#AuthorizedKeysCommandRunAs nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
PasswordAuthentication yes

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
#KerberosUseKuserok yes

# GSSAPI options
#GSSAPIAuthentication no
GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
#UsePAM no
UsePAM yes

# Accept locale-related environment variables
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#ShowPatchLevel no
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none

# no default banner path
#Banner none

# override default of no subsystems
Subsystem       sftp    /usr/libexec/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#       X11Forwarding no
#       AllowTcpForwarding no
#       ForceCommand cvs server

MrClon · Сообщение **MrClon** » 16.05.2014 22:22

Попробуй подключиться к 22 порту сервера утилитой telnet или nc (кажется telnet в последних виндах выпилили). В cmd набери telnet SERVER_IP 22 где SERVER_IP это IP сервера на котором работает sshd (если telnet нету, то замени его на nc, или netcat, остальное то-же самое). Ну и скопируй что он выдаст.
PuTTY какую ошибку выдаёт при попытке подключиться.

faria · Сообщение **faria** » 16.05.2014 22:24

Как я понимаю эти правила(для input, forward) перечеркивают reject стоящий ниже по цепочке, вкупе с политкой по умолчанию output у вас не должно ничего блокироваться для этих интерфейсов:

Код: Выделить всё

-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth0 -j ACCEPT

Но для чистоты эксперимента можете на всякий случай временно вообще отключить(приводил выше, как это сделать)
По поводу конфига наверное не подскажу, в моем аутентификация через rsa.

По поводу RHEL, PuTTY и GSSAPI вот может поможет

Trojan · Сообщение **Trojan** » 17.05.2014 00:48

Вобщем поднял виртуальную машину с тем же дистрибутивом ровно точто так же как и реальную. Сконфигурировал все необходимые настройки как на реальной машине. Работает.
Остается гадать почему же на реальной машине не работает.

Попробую заново переустановить.

Сообщение **Bizdelnick** » 17.05.2014 06:48

Trojan писал(а): ↑
16.05.2014 21:32
Код: Выделить всё
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

А это почему закомментировано?

faria · Сообщение **faria** » 17.05.2014 11:43

Еще я бы проверил SeLinux вот как здесь

Trojan · Сообщение **Trojan** » 17.05.2014 20:44

Видимо, просто криво была установлена ОС. Переустановил и все ОК.

unixforum.org

Настройка ssh доступа на RHEL

Настройка ssh доступа на RHEL

Re: Настройка ssh доступа на RHEL

Re: Настройка ssh доступа на RHEL

Re: Настройка ssh доступа на RHEL

Re: Настройка ssh доступа на RHEL

Re: Настройка ssh доступа на RHEL

Re: Настройка ssh доступа на RHEL

Re: Настройка ssh доступа на RHEL

Re: Настройка ssh доступа на RHEL

Re: Настройка ssh доступа на RHEL

Re: Настройка ssh доступа на RHEL

Re: Настройка ssh доступа на RHEL

Re: Настройка ssh доступа на RHEL

Re: Настройка ssh доступа на RHEL

Re: Настройка ssh доступа на RHEL