ssh_exchange_identification: Connection closed by remote host

0

3

Всем добрый день.

При соединении с сервером мне начала периодически выскакивать ошибка

ssh_exchange_identification: Connection closed by remote host

Много гуглил, настроил /etc/hosts.allow

sshd: ALL

/etc/hosts.deny чист как слеза младенца.

Так как к серверу по ssh может быть подключено до 1к клиентов, настроил в /etc/ssh/sshd_config

MaxStartups 30:60:1000

вместо

MaxStartups 30:60:70

Ошибка все равно проявляется. Кто-нибудь подскажет из-за чего такое может быть? Самое интересное, что такая ошибка стала проявляеться сразу на 2х серверах.

Ссылка

←	OpenVpn сеть за клиентом

Правило для VPN

→

fail2ban? :)

tazhate ★★★★★
(22.04.14 16:49:36 MSK)

Ответ на: комментарий от tazhate 22.04.14 16:49:36 MSK

На одном из двух заболевших серверов fail2ban даже не установлен.

Dikar ★★
(22.04.14 17:04:12 MSK) автор топика

Ссылка

Логи?

blind_oracle ★★★★★
(22.04.14 17:10:12 MSK)

Ответ на: комментарий от blind_oracle 22.04.14 17:10:12 MSK

Какие? Покажу все, какие нужно.

Dikar ★★
(22.04.14 17:12:43 MSK) автор топика

Ссылка

Запусти с -v и посмотри в чём проблема.

dada ★★★★★
(22.04.14 17:39:22 MSK)

Ответ на: комментарий от dada 22.04.14 17:39:22 MSK

ОК. Запустил. Что из этого понятно?

OpenSSH_5.9p1 Debian-5ubuntu1.3, OpenSSL 1.0.1 14 Mar 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to telecom-server [188.120.238.209] port 22.
debug1: Connection established.
debug1: identity file /home/nikolay/.ssh/id_rsa type 1
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA-2048
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-2048
debug1: identity file /home/nikolay/.ssh/id_rsa-cert type -1
debug1: identity file /home/nikolay/.ssh/id_dsa type -1
debug1: identity file /home/nikolay/.ssh/id_dsa-cert type -1
debug1: identity file /home/nikolay/.ssh/id_ecdsa type -1
debug1: identity file /home/nikolay/.ssh/id_ecdsa-cert type -1
ssh_exchange_identification: Connection closed by remote host

Dikar ★★
(22.04.14 17:42:12 MSK) автор топика

Ответ на: комментарий от Dikar 22.04.14 17:42:12 MSK

MaxAuthTries ?

алсо, запусти дебаг на сервере.

val-amart ★★★★★
(22.04.14 18:37:45 MSK)

Ответ на: комментарий от val-amart 22.04.14 18:37:45 MSK

Дебагом на сервере не получается отловить ситауацию с ошибкой - на сервер пробрасывают по 3 порта несколько десятков клиентов при помощи autossh. К тому моменту, как я делаю попытку подключения, sshd уже подключен к другому клиенту.

MaxAuthTries не настраивал. Видимо, он установлен по-умолчанию.

Где-то на одном за англоязычных форумов мельком увидел, что причиной может быть какая-то фигня с knowт_hosts, но полного объяснения небыло. Как посмотреть в это сторону?

Оба сервера говорят ерунду:

ssh-keyscan -f ~/.ssh/known_hosts
getaddrinfo |1|jujEYUwZ6Zx741f+05iUV7JkpsE=|EPS4fX97hERj7Xz1peaDVC5kO2w=: Temporary failure in name resolution

ssh-keyscan -f ~/.ssh/known_hosts
getaddrinfo |1|/yhiUgRn7oujX/mV6gl+WhgKCBw=|gnMJiQmu8ZmxgccP8qXNTZ2vbCI=: Name or service not known

Dikar ★★
(22.04.14 20:20:01 MSK) автор топика

Ответ на: комментарий от Dikar 22.04.14 20:20:01 MSK

ssh-keyscan -f ~/.ssh/known_hosts

что по-твоему должна сделать эта команда? ты ман вообще читал?

MaxAuthTries не настраивал. Видимо, он установлен по-умолчанию.

ты можешь просто показать свой конфиг или мне надо продолжать угадывать что там у тебя?

К тому моменту, как я делаю попытку подключения, sshd уже подключен к другому клиенту.

чтоа? о чем это вообще? в лююбом случае, просто запусти вторую копию на отдельном порте, тогда ты там точно будешь единственный клиент.

val-amart ★★★★★
(22.04.14 21:13:31 MSK)

Ответ на: комментарий от val-amart 22.04.14 21:13:31 MSK

Конфиг сервера на Ububntu Server 12.04 LTS

cat /etc/ssh/sshd_config 
Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
UsePrivilegeSeparation yes

KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile	%h/.ssh/authorized_keys

IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no

PermitEmptyPasswords no

ChallengeResponseAuthentication no

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

MaxStartups 30:60:1000

AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes


ClientAliveInterval 10
ClientAliveCountMax 3

Конфиг сервера на Debian

$ cat /etc/ssh/sshd_config 
Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
UsePrivilegeSeparation yes

KeyRegenerationInterval 3600
ServerKeyBits 768

SyslogFacility AUTH
LogLevel INFO

LoginGraceTime 120
PermitRootLogin No
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
/etc/ssh_known_hosts
RhostsRSAAuthentication no
HostbasedAuthentication no
RhostsRSAAuthentication
IgnoreUserKnownHosts yes

PermitEmptyPasswords no

issues with
ChallengeResponseAuthentication no

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes

MaxStartups 10:30:1000
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes

Dikar ★★
(23.04.14 11:28:14 MSK) автор топика

Ссылка

Ответ на: комментарий от val-amart 22.04.14 21:13:31 MSK

Запустил sshd на 9999 порте. Около 30 успешных подключений подряд. В то же время на стандартный порт могу подключиться только со второго-пятого раза.

Dikar ★★
(23.04.14 11:43:50 MSK) автор топика

Ответ на: комментарий от Dikar 23.04.14 11:43:50 MSK

хм, интересно. попробуй MaxStartups 1000:0:1000.
В сислоге точно нет сообщений об ошибках от sshd? что он вообще пишет — залей на пастебин grep sshd /var/log/messages /var/log/secure.log

val-amart ★★★★★
(23.04.14 13:31:57 MSK)

Ответ на: комментарий от val-amart 23.04.14 13:31:57 MSK

http://paste2.org/wxzyhahN

Dikar ★★
(23.04.14 13:41:22 MSK) автор топика

Ответ на: комментарий от val-amart 23.04.14 13:31:57 MSK

очень странное поведение при 1000:0:1000 - не удалось подключиться 20 раз подряд.

Dikar ★★
(23.04.14 13:45:54 MSK) автор топика

Ответ на: комментарий от Dikar 23.04.14 13:41:22 MSK

холи шит.

ладно.

в не зависимости от этой проблемы, тебе наверное пригодится UseDNS no.

есть два варианта — либо эти твои проблемы манифестируются как «client timeout» в логе, либо их в логе вообще не видно. можешь попробовать экспериментально определить или это они?

val-amart ★★★★★
(23.04.14 14:12:31 MSK)

Ссылка

Ответ на: комментарий от Dikar 23.04.14 13:45:54 MSK

т.е. ниразу не удалось, или просто был стрик такой? это с одного клиента — пробовал ли ты другие? это на отдельном порту или ты главные сервер перезапускал?

val-amart ★★★★★
(23.04.14 14:13:16 MSK)

Ответ на: комментарий от val-amart 23.04.14 14:13:16 MSK

Не получается коннектиться с разных клиентов если MaxStartups N:0:M.

Поставил 1000:60:1000 и «UseDNS no» - коннекты пошли.

Похоже что ошибоччные попытки соединения даже не отображаются в логах. Вот лог 3х последних коннектов, из которых 2 первых удачные, а последний - нет.

/var/log/auth.log:Apr 23 15:04:02 boulevard sshd[26864]: Accepted publickey for user from 83.220.50.155 port 36921 ssh2
/var/log/auth.log:Apr 23 15:04:02 boulevard sshd[26864]: pam_unix(sshd:session): session opened for user user by (uid=0)
/var/log/auth.log:Apr 23 15:04:02 boulevard sshd[27022]: Received disconnect from 83.220.50.155: 11: disconnected by user
/var/log/auth.log:Apr 23 15:04:02 boulevard sshd[26864]: pam_unix(sshd:session): session closed for user user
/var/log/auth.log:Apr 23 15:04:04 boulevard sshd[27045]: Accepted publickey for user from 83.220.50.155 port 36922 ssh2
/var/log/auth.log:Apr 23 15:04:04 boulevard sshd[27045]: pam_unix(sshd:session): session opened for user user by (uid=0)
/var/log/auth.log:Apr 23 15:04:04 boulevard sshd[27215]: Received disconnect from 83.220.50.155: 11: disconnected by user
/var/log/auth.log:Apr 23 15:04:04 boulevard sshd[27045]: pam_unix(sshd:session): session closed for user user

Dikar ★★
(23.04.14 15:08:08 MSK) автор топика

Ответ на: комментарий от Dikar 23.04.14 15:08:08 MSK

отлично! уже хороший результат. теперь поставь LogLevel DEBUG3 и повтори тест плиз.

val-amart ★★★★★
(23.04.14 16:06:24 MSK)

Ответ на: комментарий от val-amart 23.04.14 16:06:24 MSK

3 строки, которые появились в логе после неудачного коннекта

Apr 23 16:14:13 boulevard sshd[14050]: debug3: fd 5 is not O_NONBLOCK
Apr 23 16:14:13 boulevard sshd[14050]: debug1: drop_connection: p 60, r 8
Apr 23 16:14:13 boulevard sshd[14050]: debug1: drop connection #20

Dikar ★★
(23.04.14 16:15:49 MSK) автор топика

Ответ на: комментарий от Dikar 23.04.14 16:15:49 MSK

это очень похоже на баг. первое сообщение появляется для удачного соединения?

какие точные версии sshd используются?

val-amart ★★★★★
(23.04.14 16:44:40 MSK)

Ответ на: комментарий от val-amart 23.04.14 16:44:40 MSK

Все 3 строчки появились после одного неудачного соединения

На убунте openssh-server 5.9 x64, на Debian - 6.0 x64

Dikar ★★
(23.04.14 16:58:44 MSK) автор топика

Ответ на: комментарий от Dikar 23.04.14 16:58:44 MSK

ну, я имел ввиду появляется ли первая строчка в логе при удачном соединении?

val-amart ★★★★★
(23.04.14 17:03:55 MSK)

Ответ на: комментарий от val-amart 23.04.14 17:03:55 MSK

Да, появляется

Dikar ★★
(23.04.14 17:17:01 MSK) автор топика

Ответ на: комментарий от Dikar 23.04.14 17:17:01 MSK

http://bxr.su/OpenBSD/usr.bin/ssh/sshd.c#895

итоге, проблема таки с настройками MaxStartups.

попробуй разобраться, если не выйдет, я вечером читну как они эти значения используют, сейчас времени нет.

val-amart ★★★★★
(23.04.14 17:34:27 MSK)

Ответ на: комментарий от val-amart 23.04.14 17:34:27 MSK

Впервые читал исходники длч того чтобы разобраться с конфигом :)

Судя по этим исходникам, при настройках 30:60:1000 и тех логах, что я раньше приводил, соединение #20 не должно рваться.

Посмотри ты тоже пожалуйста, может вместе разберемся

Dikar ★★
(23.04.14 18:03:14 MSK) автор топика

Ответ на: комментарий от Dikar 23.04.14 18:03:14 MSK

В общем решил проблему нетруЪшным способом:

UseDNS no
MaxStartups 100:100:1000

Dikar ★★
(24.04.14 13:04:43 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	OpenVpn сеть за клиентом

Admin

Правило для VPN

→

Похожие темы