Решено: Проблема с SSH (Мандрива не пускает по SSH при уровне безопасноти "Повышенный")

[MUR2]

Есть домашний "сервер" с Мандрива 2008.1 без GUI. Раньше стояла Винда и управлялась по VNC. Но так внутренности у данного компа не первой молодости, то хотельс-бы ресурсы поберечь.
Так вот, если уровень защиты выставлен "нормальный" или "высокий", то проблем нет. С Виндовой машины с программой Putty соединяюсь нормально.
Но так как на нем будут работать: апач, фтп, самба и торрент в придачу, то хотелось бы поставить уровень безопасности "повышенный".
Вот тут возникает проблема. Мандрива по SSH не пускает ни за какие коврижки. Ни по паролю, ни по файлам ключей. Через какое-то время после попытки соединится, Putty сообщает, что соединение не удалось.
Я пробовал создавать ключи с помощью puttygen.exe и подсовывать Мандриве. Делал и наоборот. Создавал в openssh и подсовывал Putty. Пробовал настраивать sshd_config, но увы...
В Линуксе я не большой спец. А с ssh вообще первый раз столкнулся. К сожалению найти толковую информацию по ssh на русском не так-то просто, все маленькими кусочками. А с английским дружу не очень.
Еще осложняет мою ситуацию то, что в доме нет монитора. Только ноутбуки. А бегать к соседу за монитором уже неудобно. И так уже раз десять наверное одалживал.
Есть правда Webmin. Через него можно настроить sshd, но мне это сделать не удалось.
Поиски ничего не дали.
На всякий случай sshd_config

Код:

# $OpenBSD: sshd_config,v 1.75 2007/03/19 01:01:29 djm Exp $ # This is the sshd server system-wide configuration file. See # sshd_config(5) for more information. # This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin # The strategy used for options in the default sshd_config shipped with # OpenSSH is to specify options with their default value where # possible, but leave them commented. Uncommented options change a # default value. Port 22 #AddressFamily any #ListenAddress 0.0.0.0 # Disable legacy (protocol version 1) support in the server for new # installations. In future the default will change to require explicit # activation of protocol 1 Protocol 2 # HostKey for protocol version 1 HostKey /etc/ssh/ssh_host_key # HostKeys for protocol version 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key # Lifetime and size of ephemeral version 1 server key #KeyRegenerationInterval 1h #ServerKeyBits 768 # Logging # obsoletes QuietMode and FascistLogging #SyslogFacility AUTH #LogLevel INFO # Authentication: #LoginGraceTime 2m PermitRootLogin yes #StrictModes yes #MaxAuthTries 6 #RSAAuthentication yes #PubkeyAuthentication yes #AuthorizedKeysFile .ssh/authorized_keys # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts #RhostsRSAAuthentication no # similar for protocol version 2 #HostbasedAuthentication no # Change to yes if you don't trust ~/.ssh/known_hosts for # RhostsRSAAuthentication and HostbasedAuthentication #IgnoreUserKnownHosts no # Don't read the user's ~/.rhosts and ~/.shosts files #IgnoreRhosts yes # To disable tunneled clear text passwords, change to no here! PasswordAuthentication yes PermitEmptyPasswords no # Change to no to disable s/key passwords #ChallengeResponseAuthentication yes # Kerberos options #KerberosAuthentication no #KerberosOrLocalPasswd yes #KerberosTicketCleanup yes #KerberosGetAFSToken no # GSSAPI options #GSSAPIAuthentication no #GSSAPICleanupCredentials yes # Set this to 'yes' to enable PAM authentication, account processing, # and session processing. If this is enabled, PAM authentication will # be allowed through the ChallengeResponseAuthentication and # PasswordAuthentication. Depending on your PAM configuration, # PAM authentication via ChallengeResponseAuthentication may bypass # the setting of "PermitRootLogin without-password". # If you just want the PAM account and session checks to run without # PAM authentication, then enable this but set PasswordAuthentication # and ChallengeResponseAuthentication to 'no'. UsePAM no #AllowTcpForwarding yes #GatewayPorts no X11Forwarding yes #X11DisplayOffset 10 #X11UseLocalhost yes #PrintMotd yes #PrintLastLog yes #TCPKeepAlive yes #UseLogin no UsePrivilegeSeparation yes #PermitUserEnvironment no #Compression delayed #ClientAliveInterval 0 #ClientAliveCountMax 3 #UseDNS yes #PidFile /var/run/sshd.pid #MaxStartups 10 #PermitTunnel no # no default banner path #Banner /some/path # override default of no subsystems Subsystem sftp /usr/lib/ssh/sftp-server GatewayPorts no AllowTcpForwarding yes KeepAlive yes # Example of overriding settings on a per-user basis #Match User anoncvs # X11Forwarding no # AllowTcpForwarding no # ForceCommand cvs server

И еще вопрос. Может в моем случае и не стоит заморачиваться с уровнем безопасности "повышенный"?
Может будет достаточно уровня "высокий"?

[serzh-z]

MUR2
см. лог "ssh -vv ..."

[SinClaus]

Если не ошибаюсь, в "повышенном" из iptables убирается правило, разрешающее коннект на 22 порт.

[MUR2]

SinClaus
Были мысли, что блокируется 22 порт. Разрешал отдельно в файрволе доступ к 22 порту. Когда заходил повторно в настройки файрвола, то 22 порта не было. Хотя у меня указаны еще два порта (5900 и 10000), они не сбрасываются. еще один интересный момент. Если в настройках файрвола убрать доступ к серверу ssh и разрешить просто доступ к 22 порту по tcp. То при повторном заходе в настройки файрвола доступа к 22 порту нет, но стоит галка на доступ к серверу ssh.
Как писал выше, я пока не большой спец по Линуксу, и тем более настройкам конфигурационных файлов. (Но, учусь. )
Так что прошу прощения за дальнейший детсад.
Смотрел конфиг iptables. Настройки 22 порта полностью совпадают с настройками 5900 и 10000 портов. По этим двум портам с доступом проблем нет.

serzh-z
Я сейчас наверно удивлю, или рассмешу но..., я не нашел лог-файл ssh.
Все, что я нашел про ssh в логах это /var/log/auth.log. При каждой моей попытке соединиться по ssh, в этом файле появляется запись типа
Feb 5 23:34:24 localhost sshd[5137]: refused connect from ::ffff:192.168.1.11 (::ffff:192.168.1.11)

После попытки соединения putty пишет
Server unexpectedly closed network connection

openssh for windows выдает
ssh_exchange_identification: Connection closed by remote host

[MUR2]

С портом точно все нормально. Открыл, например, доступ к порту 11000. Поставил в sshd_config "Port 11000". В putty указываю соответственно порт 11000.
Получаю тоже самое. При уровне "Высокий" соединение есть. При уровне "Повышенный" получаю как всегда
"Server unexpectedly closed network connection".
Тот же Webmin, настроенный на порт 11000, при уровне "Повышенный", спокойно конектиться.
Еще, сравнил файлы sshd_config при уровне "Высокий" и "Повышенный".
Разница только в одной строчке.
При уровне "Высокий" выставляется
"PermitRootLogin yes"
при уровне "Повышенный"
"PermitRootLogin without-password"
Но это явно к делу не относится. Рутом я не захожу. все остальное совпадает буква в букву.

[SinClaus]

Не совсем понятно зачем поднят IP V6, но это дело другое.
Смотреть нужно не в картинку shorewall'а, а рутом в режиме повышенной безопасности дать команду service iptables save и посмотреть что написано в /etc/sysconfig/iptables (и iptables6 раз поднят 6я версия протокола).
А вообще для начала неплохо почитать, чем отличается повышенная безопасность от высокой, и решить, нужно ли это.

[MUR2]

Вроде у меня не поднят IPv6.
Смотрел я /etc/sysconfig/iptables. (я писал выше об этом).
Порт 22 точно открыт и доступен. Сегодня настроил FTP на этот порт. Работает без проблем.
iptables6 у меня отсутствует.

А вообще для начала неплохо почитать, чем отличается повышенная безопасность от высокой, и решить, нужно ли это.

Так, почитал.
Если в двух словах, то все сводится к тому, что если открыт доступ к определенным службам, то лучше использовать режим "Повышенный".
По этому в первом посте и спросил:

И еще вопрос. Может в моем случае и не стоит заморачиваться с уровнем безопасности "повышенный"?
Может будет достаточно уровня "высокий"?

Если дадите какой либо совет - буду благодарен.

[Smirnoff]

сделай проще:
поставь порт 110 (он открыт всегда и полюбому)
в /etc/host.allow добавь строчку sshd:ALL:ALLOW

[SinClaus]

Про IP6 написал потому, что написание адресов типично для него. Если поднят только IP4 - фрагмент лога:

Код: Выделить всё

09:20:45 sis pppd[14277]: pptpd-logwtmp.so ip-up ppp2 ХХХХХХХХХ 92.243.102.215

Надеюсь FTP с этого адреса уже убрал? А то странно было бы ждать соединения по ssh.
Отсутствие коннекта может быть только в двух случаях - либо в фильтрах явно прописано блокировать этот порт (кстати - имеет смысл внимательно просмотреть конфиг sshd, там может оказаться раскомментирована строчка с разрешением коннектиться только с определенных адресов и пустым списком), либо не работает сервис. Что проверяется легко.

[MUR2]

Smirnoff
Спасибо огромное. Все получилось.
порт не менял.
Только в /etc/host.allow вставил sshd:IPклиента:ALLOW и все заработало.

Спасибо также всем остальным, кто пытался помочь.
Пошел дальше разбираться.

P.S.
SinClaus
FTP конечно убрал. Я его для проверки открытости 22 порта временно перевел.
Ну, в общем проблема решилась редактированием /etc/host.allow.
Спасибо за помощь.

[titimovainar]

у меня при после всех процедур при попытке зайти на удаленный компьютер используя мой аккаунт@удаленный комп, все равно запрашивает пароль и ввод пустого пароля или же ввод пароля моего пароля не помогает. Как исправить?

[Bizdelnick]

titimovainar
конфиг sshd в студию.