Condividi:        

ssh

Per tutti i tuoi problemi Linux entra qui e risolvili!

Moderatori: Anthony47, gunter, zendune

ssh

Postdi Luva » 11/01/03 21:02

Come faccio a configurare ssh, e sshd,
quando mi collego da un altro computer, mi dice connession refuse
help
Luva
Utente Senior
 
Post: 397
Iscritto il: 15/07/02 19:53
Località: Pavia

Sponsor
 

Postdi Beppe » 12/01/03 09:45

intanto puoi fare:

ssh ip_del_server -v

L'output è molto dettagliato, dovresti riuscire a capire al volo quali sono i motivi;

Ciao!
Powered by *^* D€bi@N Woody 3.0 *^*
Register User #270393 - http://counter.li.org
Beppe
Utente Senior
 
Post: 148
Iscritto il: 21/11/01 01:00

Postdi stellino » 13/01/03 10:47

prova a rivedere un po' tutti i parametri del file di configurazione /etc/ssh/sshd_config
ci va un po' di pazienza per leggere la relativa documentazione
o vedi direttamente man sshd oppure prova qui

http://www.openbsd.org/cgi-bin/man.cgi?query=sshd

ave
sono un gatto =^___^=
stellino
Utente Junior
 
Post: 44
Iscritto il: 09/09/02 08:35
Località: asti

Postdi Luva » 13/01/03 22:02

[quote="Beppe"]intanto puoi fare:

ssh ip_del_server -v

L'output è molto dettagliato
[/quote]

Purtroppo nn capisco niente, nn è che devo configurare qualche parametro?
Luva
Utente Senior
 
Post: 397
Iscritto il: 15/07/02 19:53
Località: Pavia

Postdi stellino » 14/01/03 09:30

comincia con l'eseguire il comando consigliato da beppe...
dopo di che fai un bel copia incolla dell'output qui...
se qualcuno nota qualcosa di fuori posto riuscirà più facilmente a consigliarti...
(così mi prendo un po' di tempo per rivedere come ho configurato il il truscus, che non ricordo molto bene, eheheh!)
;-)
sono un gatto =^___^=
stellino
Utente Junior
 
Post: 44
Iscritto il: 09/09/02 08:35
Località: asti

Postdi Luva » 14/01/03 23:28

Ecco quello che mi da il comando (spero che vada bene anche se l'ho eseguito sull'indirizzo 127.0.0.1):

root@pingui:/# ssh -v 127.0.01
OpenSSH_2.9p1, SSH protocols 1.5/2.0, OpenSSL 0x0090601f
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Seeding random number generator
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: restore_uid
debug1: ssh_connect: getuid 0 geteuid 0 anon 1
debug1: Connecting to 127.0.01 [127.0.0.1] port 22.
debug1: temporarily_use_uid: 0/0 (e=0)
debug1: restore_uid
debug1: temporarily_use_uid: 0/0 (e=0)
debug1: connect: Connection refused
debug1: restore_uid

Spero di non essermi dimenticato niente...
Luva
Utente Senior
 
Post: 397
Iscritto il: 15/07/02 19:53
Località: Pavia

Postdi stellino » 15/01/03 08:47

sembrerebbe che non ti sia partito il trigumiru...

per quanto riguarda la configurazione in effetti mi pare di aver solo modificato la seguente riga:
PermitRootLogin no (tolto il commento e impostato a no per aumentare la sicurezza)

prova ad andare in /etc/init.d (almeno in redhat, mandrake e debian, non so in slackware)
lì risiedono gli script d'avvio di tutti i demoni...
devi avere sshd
prova a eseguire

./sshd status
./sshd start


poi guarda se dopo start ti cambia l'output di ssh -v
ave
sono un gatto =^___^=
stellino
Utente Junior
 
Post: 44
Iscritto il: 09/09/02 08:35
Località: asti

Postdi stellino » 15/01/03 08:51

a proposito, io ivece vorrei chiedere se qualcuno sa come si imposta una directory radice, in modo che quando un client si connette con sftp utilizzi la directory da me scelta come radice e non riesca a salire sulla vera /....

grazie e ave
sono un gatto =^___^=
stellino
Utente Junior
 
Post: 44
Iscritto il: 09/09/02 08:35
Località: asti

ssh

Postdi Luva » 15/01/03 19:59

Non centra niente portmap eccetera, magari ho sbagliato a configurarlo....
Luva
Utente Senior
 
Post: 397
Iscritto il: 15/07/02 19:53
Località: Pavia

ssh

Postdi Luva » 15/01/03 23:08

salve, ho slackware, ssh mi viene caricato all'inizio. Ho provato a fare, da riga di comando:
sshd -d
che serve per effettuare il debug o giu di li, mi da errore e parla di BIND...cmq sarò + preciso, se necessario. (come faccio a mettere in un file di testo l'output di un comando, come per esempio sshd -d, ho provato a fare sshd -d > nomefiledacreare, ma il file risulta vuoto)
se sono necessarie specificazioni, ve le metto.....
Luva
Utente Senior
 
Post: 397
Iscritto il: 15/07/02 19:53
Località: Pavia

Postdi stellino » 16/01/03 10:34

hai provato come ti ho scritto più in su
./etc/init.d/sshd status
e
./etc/init.d/sshd start
?
non hai fatto menzione di ciò....
ciao
sono un gatto =^___^=
stellino
Utente Junior
 
Post: 44
Iscritto il: 09/09/02 08:35
Località: asti

Postdi Beppe » 16/01/03 13:21

Riassumo rapidamente quelli che potrebbero essere i motivi per la quale'
hai problemi nello sfruttare tale servizio:

1 - hai un firewall che non accetta il traffico suilla porta 22
oppure hai definito in maniera errata le regole.

2 -Il demone sshd che si impianta per qualche motivo sconosciuto
[ ottimo suggerimento quello di stellino di controllare con 'status' e finche non risolvi
il mistero,usa la modalita 'verbose' ]

3 - Potresti aver nel file di configurazione la seguente opzione ----->
PermitRootLogin: No
Che accade in questo caso ? ... appunto ;o)

4 -
Ecco quello che mi da il comando (spero che vada bene anche se l'ho eseguito sull'indirizzo 127.0.0.1)

*** tratto da man sshd
ListenAddress
Specifies the local addresses sshd should listen on. The follow-
ing forms may be used:

ListenAddress host|IPv4_addr|IPv6_addr
ListenAddress host|IPv4_addr:port
ListenAddress [host|IPv6_addr]:port

If port is not specified, sshd will listen on the address and all
prior Port options specified. The default is to listen on all
local addresses. Multiple ListenAddress options are permitted.
Additionally, any Port options must precede this option for non
port qualified addresses.
***

Cioè devi stabilire tu che interfaccia usare, controlla quindi nel file di config. il parametro
ListenAddress !

5 - Potresti aver deciso di vietare l'autenticazione mediante passwd, ma al
tempo stesso non aver stabilito, un metodo di autenticazione a chiave pubblica, e/o non aver
creato le chiavi !

Insomma come vedi parecchie cose possono creare problemi.

//
Consiglio:
stampa il file di configurazione, preparati un caffè e controlla tutto con meticolosità,
cercando di soffermarti nei punti oscuri ;o)

Alla prox. - Ciao!
Beppe
Powered by *^* D€bi@N Woody 3.0 *^*
Register User #270393 - http://counter.li.org
Beppe
Utente Senior
 
Post: 148
Iscritto il: 21/11/01 01:00

Postdi stellino » 16/01/03 14:50

permitrootlogin=no impedisce che da un client si colleghi un utente root...
si collegano solo gli utenti con uid maggiore...
non influisce sull'avvio del servizio, io ce ho =no in questa opzione...

il discorso listenaddress invece non mi è del tutto chiaro...
dovrebbe essere solo relativo alla porta utilizzata, non all'interfaccia... nei commenti dell' sshd_config mi sembra che parli di listen su tutti gli indirizzi! questo dovrebbe voler dire tutte le interfacce? bisognerebbe appurarlo....

in ogni caso, possibilissimo invece il discorso che hai fatto sull'eventuale firewall...

ave
sono un gatto =^___^=
stellino
Utente Junior
 
Post: 44
Iscritto il: 09/09/02 08:35
Località: asti

Postdi Beppe » 16/01/03 17:59

permitrootlogin=no impedisce che da un client si colleghi un utente root


... appunto! quando tenti una connesione ssh, la prima cosa che controlla il demone è la UID e GID dell'utente.
Se viene tracciato come utente root, e l'opzione di cui sopra è impostata a NO, il demone dovrebbe respingerti.

il discorso listenaddress invece non mi è del tutto chiaro...


// la sistassi specifica sia l'host che la porta [ opzionale ]
ListenAddress:[host]:[port]

... di fatti si chiama 'listeaddress', cioè indirizzo di ascolto ;o)
In realtà per quanto riguarda la porta ci sarebbe un'attributo tutto suo ------>
# Port
// In servizio sulla porta 22 e sull'interfaccia specificata
ListenAddress 192.168.1.1

// In ascolto su loopback e porta 50000
ListenAddress 127.0.0.1
Port 50000

Insomma grossomodo la sintassi e simile per non dire uguale a quella di Apache!

Questo tipo di configurazione lo usata spesso soprattutto su alcuni server con piu' schede di rete, che avevano neccessita di solo amministrazione locale;
il servizio non risulta raggiungibile dall'esterno, e di fatto neanche visibile.

Ciao!
Beppe
Powered by *^* D€bi@N Woody 3.0 *^*
Register User #270393 - http://counter.li.org
Beppe
Utente Senior
 
Post: 148
Iscritto il: 21/11/01 01:00

ssh

Postdi Luva » 16/01/03 18:39

allora...nn capisco + niente....cmq ho dato il comando sshd -d che serve per il debug e mi ha dato i seguenti dati.....:

root@pingui:~# sshd -d
debug1: Seeding random number generator
debug1: sshd version OpenSSH_2.9p1
debug1: private host key: #0 type 0 RSA1
debug1: read PEM private key done: type RSA
debug1: private host key: #1 type 1 RSA
debug1: read PEM private key done: type DSA
debug1: private host key: #2 type 2 DSA
debug1: Bind to port 22 on 192.168.0.100.
Bind to port 22 on 192.168.0.100 failed: Cannot assign requested address.
Cannot bind any address.


Cosa può essere?
Luva
Utente Senior
 
Post: 397
Iscritto il: 15/07/02 19:53
Località: Pavia

Postdi stellino » 17/01/03 08:47

per beppo
riappunto! ;-)
quel parametro impedisce a un client di collegarsi con l'utente root, ma luva non ci ha detto se ha tentato una cosa del genere e se gli sono saltati fuori degli errori (che dovrebbero essere robe tipo utente non valido...)
a dire il vero, dall'output di sshd -v mi sembra che non gli sia partito proprio il demone sulla macchina server...
comunque su questo discorso mi sembra che ci siamo capiti! :-)

secondo argomento invece forse ho capito:
metti vari listen e personalizzi le porte su cui vuoi ascoltare assegnando anche l'ip dato alle varie interfacce di rete giusto?
a conseguenza di ciò, implicitamente assegni anche le interfacce, è così?

a questo punto bisogna sapere da luva se vuole servire sshd anche sul modem...
direi di verificare se in sshd_config ci sono dei listenaddress senza commento e che valori hanno...
sarebbe meglio provare con una configurazione ristretta, magari togliere il commento da un listenaddress solo e scrivergli a fianco l'ip della scheda di rete...

dopo di che dalla directory degli script di init (beppe sai mica qual'è quella di slackware? debian e mandrake hanno /etc/init.d, sarà qualcosa di simile) scrivi
./sshd stop
./sshd start
./sshd status

sshd -d invece gli scrive: Cannot assign requested address
mi sembra straaano...
hai mica già attivato qualche firewall o proxy? (iptables, ipchains, squid?)
bisognerebbe fermarli per provare con più sicurezza (nel caso di iptables impostare tutto su accept:
sempre dalla directory degli init:
./iptables
./iptables clear
)

ciaociao
sono un gatto =^___^=
stellino
Utente Junior
 
Post: 44
Iscritto il: 09/09/02 08:35
Località: asti

Postdi Beppe » 17/01/03 13:39

ma luva non ci ha detto se ha tentato una cosa del genere e se gli sono saltati fuori degli errori (che dovrebbero essere robe tipo utente non valido...)


... si in effetti hai ragione !

metti vari listen e personalizzi le porte su cui vuoi ascoltare assegnando anche l'ip dato alle varie interfacce di rete giusto?
a conseguenza di ciò, implicitamente assegni anche le interfacce, è così?


Esattamente ... e in particolari casi è quasi consigliabile in ambito sicurezza rete.
Per es. se il servizio ssh viene usato da una stretta cerchia di utenti e deve risultare
raggiungibile dall'esterno, è buona regola mettere il demone su una porta diversa dalla 22,
[ magari proprio furoi dal range 0-1024];
così facendo dovresti tagliare fuori una buona fetta di squali alle prese con nmap e compagnia bella ;o)
Ok, ma come collegarsi a questo punto ?

// supponendo che l'indirizzo sia 1.2.3.4 e la porta 50000
ssh 1.2.3.4 -p 50000 (-v = opzionale)

# Per Luva

debug1: Bind to port 22 on 192.168.0.100.
Bind to port 22 on 192.168.0.100 failed: Cannot assign requested address.
Cannot bind any address.


Questo è il nodo da sbrogliare.
Significa che non è possibile creare una relazione fra la porta e l'interfaccia specificata,
siccome difficilmente sara la porta allora l'errore è quasi sicuramente l'interfaccia.
Sei sicuro che è quella corretta ? devi specificare quella del server non del client !

Ciao!
Beppe
Powered by *^* D€bi@N Woody 3.0 *^*
Register User #270393 - http://counter.li.org
Beppe
Utente Senior
 
Post: 148
Iscritto il: 21/11/01 01:00

Postdi stellino » 17/01/03 14:04

dunque...
nell'altro bordone in cui parliamo dell'uscita del tuo modem, hai scritto l'output di ifconfig...
la macchina suppongo sia la stessa, è così?

là appare
eth0 Link encap:Ethernet HWaddr 00:50:04:EF:2E:6B
inet addr:192.168.0.101 Bcast:192.168.0.255 Mask:255.255.255.0

e qui invece appare
debug1: Bind to port 22 on 192.168.0.100.
Bind to port 22 on 192.168.0.100 failed: Cannot assign requested address.
Cannot bind any address.


cos'è questo ip 192.168.0.100? è per caso scritto dentro /etc/sshd_config?
potrebbe essere questo dato errato...
direi che dovresti avere una riga che recita così:

ListenAddress 192.168.0.101

cioè l'ip della scheda di rete della macchina su cui stai configurando ssh server

dopo di che dalla directory degli script di init (beppe sai mica qual'è quella di slackware? debian e mandrake hanno /etc/init.d, sarà qualcosa di simile) scrivi
./sshd stop
./sshd start
./sshd status

prrrrrova!
:-)
ciao
sono un gatto =^___^=
stellino
Utente Junior
 
Post: 44
Iscritto il: 09/09/02 08:35
Località: asti

ssh

Postdi Luva » 17/01/03 23:41

Se io scrivo
sshd status
mi viene fuori :
Extra argument status

Ho provato a rifare sshd -v ed ecco l'output....

root@pingui:/etc/ssh# ssh 192.168.0.101 -v
OpenSSH_2.9p1, SSH protocols 1.5/2.0, OpenSSL 0x0090601f
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Seeding random number generator
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: restore_uid
debug1: ssh_connect: getuid 0 geteuid 0 anon 1
debug1: Connecting to 192.168.0.101 [192.168.0.101] port 22.
debug1: temporarily_use_uid: 0/0 (e=0)
debug1: restore_uid
debug1: temporarily_use_uid: 0/0 (e=0)
debug1: restore_uid
debug1: Connection established.
debug1: identity file /root/.ssh/identity type 0
debug1: identity file /root/.ssh/id_dsa type -1
debug1: identity file /root/.ssh/id_rsa type -1
ssh_exchange_identification: Connection closed by remote host
debug1: Calling cleanup 0x8062a0c(0x0)


cosa può essere?
ho provato a cancellare e rigenerare le chiavi, ho ricontrollato il file sshd_conf alla voce listernAddress ho provato a mettere il mio indirizzo e quello dell'altro computer, ma nn riesco...
boh
Luva
Utente Senior
 
Post: 397
Iscritto il: 15/07/02 19:53
Località: Pavia

Postdi stellino » 18/01/03 02:27

attenzione, segui alla lettera quello che ti ho detto... (anzi, scritto *___^ )
se scrivi
sshd status
risponde l'eseguibile del software (/usr/bin o sbin, i soliti)

devi invece andare nella dir dove ci sogno gli script di avvio che lo usano coi loro parametri e scrivere

./sshd status
che fa riferimento all'sshd in quella directory e non all'altro (ecco perchè ti da l'errore sugli argomenti) oppure esegui con tutto il percorso (potevo dirtelo subito e non ti avrei confuso)

/etc/init.d/sshd status
che è diverso da
/usr/sbin/sshd status

punto 2, non mettere il listenaddress del client
lascia solo quello della macchina server, sshd_config gestisce solo il server anche se i client sono tutti spenti...
se ci pensi non avrebbe senso che sul server imposti tutti i client (specie se offri un servizio a internet! ;-) )

il nuovo output è un po' diverso vedo se trovo qualche cosa a riguardo, però è mica quello con i 2 listenaddress? proviamo a correggere e rieseguirlo? (questo invece è correttamente ottenuto da /usr/sbin/sshd -v ;-) )
grazie nè? :-)
sono un gatto =^___^=
stellino
Utente Junior
 
Post: 44
Iscritto il: 09/09/02 08:35
Località: asti

Prossimo

Torna a Software Linux

Chi c’è in linea

Visitano il forum: Nessuno e 11 ospiti