Клиент SSH виснет при соединении

Opossum	# 7 лет, 6 месяцев назад (отредактировано 7 лет, 6 месяцев назад)
Темы: 7 Сообщения: 20 Участник с: 29 мая 2014	Сабж, после отброса несущественного сценарий такой: есть сервер, доступ только по сертификату. Клиенту потёр known_hosts и config, остался только приватный ключ. Пробуем: ssh [email protected] -i id_ecdsa - виснет sudo ssh [email protected] -i id_ecdsa - всё в порядке Вот полный выхлоп первого случая: spirit@spirit:~$ ssh -v -C -A -X [email protected] -i id_ecdsa OpenSSH_7.3p1, OpenSSL 1.0.2j 26 Sep 2016 debug1: Reading configuration data /home/spirit/.ssh/config debug1: /home/spirit/.ssh/config line 1: Applying options for user debug1: Reading configuration data /etc/ssh/ssh_config debug1: Connecting to 10.0.0.1 [10.0.0.1] port 22. debug1: Connection established. debug1: identity file /home/spirit/.ssh/id_ecdsa type 3 debug1: key_load_public: No such file or directory debug1: identity file /home/spirit/.ssh/id_ecdsa-cert type -1 debug1: Enabling compatibility mode for protocol 2.0 debug1: Local version string SSH-2.0-OpenSSH_7.3 debug1: Remote protocol version 2.0, remote software version OpenSSH_7.3 debug1: match: OpenSSH_7.3 pat OpenSSH* compat 0x04000000 debug1: Authenticating to 10.0.0.1:22 as 'user' debug1: SSH2_MSG_KEXINIT sent debug1: SSH2_MSG_KEXINIT received debug1: kex: algorithm: [email protected] debug1: kex: host key algorithm: ecdsa-sha2-nistp256 debug1: kex: server->client cipher: [email protected] MAC: <implicit> compression: [email protected] debug1: kex: client->server cipher: [email protected] MAC: <implicit> compression: [email protected] debug1: expecting SSH2_MSG_KEX_ECDH_REPLY debug1: Server host key: ecdsa-sha2-nistp256 SHA256:qlb9ITW+L5Q8jEyAyKpDfyScXi3a8mwdF9zO1vnTWxg debug1: Host '10.0.0.1' is known and matches the ECDSA host key. debug1: Found key in /home/spirit/.ssh/known_hosts:1 debug1: rekey after 134217728 blocks debug1: SSH2_MSG_NEWKEYS sent debug1: expecting SSH2_MSG_NEWKEYS debug1: rekey after 134217728 blocks debug1: SSH2_MSG_NEWKEYS received Была ветка на bbs.archlinux полгода назад, но заглохла. У меня это случилось после апдейта и настольника и ноутбука позавчера. Откат openssh не помогает.

# 7 лет, 6 месяцев назад (отредактировано 7 лет, 6 месяцев назад)

Сообщения: 20

Участник с: 29 мая 2014

Сабж, после отброса несущественного сценарий такой: есть сервер, доступ только по сертификату. Клиенту потёр known_hosts и config, остался только приватный ключ. Пробуем:
ssh [email protected] -i id_ecdsa - виснет
sudo ssh [email protected] -i id_ecdsa - всё в порядке

Вот полный выхлоп первого случая:

spirit@spirit:~$ ssh -v -C -A -X [email protected] -i id_ecdsa
OpenSSH_7.3p1, OpenSSL 1.0.2j  26 Sep 2016
debug1: Reading configuration data /home/spirit/.ssh/config
debug1: /home/spirit/.ssh/config line 1: Applying options for user
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to 10.0.0.1 [10.0.0.1] port 22.
debug1: Connection established.
debug1: identity file /home/spirit/.ssh/id_ecdsa type 3
debug1: key_load_public: No such file or directory
debug1: identity file /home/spirit/.ssh/id_ecdsa-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_7.3
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.3
debug1: match: OpenSSH_7.3 pat OpenSSH* compat 0x04000000
debug1: Authenticating to 10.0.0.1:22 as 'user'
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: [email protected]
debug1: kex: host key algorithm: ecdsa-sha2-nistp256
debug1: kex: server->client cipher: [email protected] MAC: <implicit> compression: [email protected]
debug1: kex: client->server cipher: [email protected] MAC: <implicit> compression: [email protected]
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ecdsa-sha2-nistp256 SHA256:qlb9ITW+L5Q8jEyAyKpDfyScXi3a8mwdF9zO1vnTWxg
debug1: Host '10.0.0.1' is known and matches the ECDSA host key.
debug1: Found key in /home/spirit/.ssh/known_hosts:1
debug1: rekey after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: rekey after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS received

Была ветка на bbs.archlinux полгода назад, но заглохла. У меня это случилось после апдейта и настольника и ноутбука позавчера. Откат openssh не помогает.

sleepycat	# 7 лет, 6 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	Зайти на сервер локально, пересоздать ключи.(сертификаты) Если честно, не вижу в выхлопе ничего к чему можно было бы привязаться. Я думаю что раз открытый удалили, либо его сделать заного либо переиздать с нового закрытого. http://archlinux.org.ru/forum/topic/15088/ сабж надо почитать в любом случае. Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 7 лет, 6 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

Зайти на сервер локально, пересоздать ключи.(сертификаты)
Если честно, не вижу в выхлопе ничего к чему можно было бы привязаться. Я думаю что раз открытый удалили, либо его сделать заного либо переиздать с нового закрытого.
http://archlinux.org.ru/forum/topic/15088/ сабж надо почитать в любом случае.

Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat	# 7 лет, 6 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	... пока дошел до туалета появилась еще одна идея, сравните выхлоп с debug'ом с таким же выхлопом при использовании Sudo. (меня терзают смутные сомнения по поводу ключей лежащих у рута в директории) Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 7 лет, 6 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

... пока дошел до туалета появилась еще одна идея, сравните выхлоп с debug'ом с таким же выхлопом при использовании Sudo. (меня терзают смутные сомнения по поводу ключей лежащих у рута в директории)

Opossum	# 7 лет, 6 месяцев назад (отредактировано 7 лет, 6 месяцев назад)
Темы: 7 Сообщения: 20 Участник с: 29 мая 2014	sleepycat Зайти на сервер локально, пересоздать ключи.(сертификаты) Если честно, не вижу в выхлопе ничего к чему можно было бы привязаться. Я думаю что раз открытый удалили, либо его сделать заного либо переиздать с нового закрытого. http://archlinux.org.ru/forum/topic/15088/ сабж надо почитать в любом случае. Ключи сам генерил весной и с тех пор не менял, ssh сервер тоже не обновлял больше месяца. Пока что вижу разницу между заходит/не заходит только в правах пользователя. P.S. На другой машине с такой же проблемой после обновления вдруг заработало, попробую эту ребутнуть, если нет то сброшу второй дебаг. Upd: так и есть, после свежего апдейта непонятно чего работает нормально.

Opossum

# 7 лет, 6 месяцев назад (отредактировано 7 лет, 6 месяцев назад)

Темы: 7

Сообщения: 20

Участник с: 29 мая 2014

sleepycat
Зайти на сервер локально, пересоздать ключи.(сертификаты)
Если честно, не вижу в выхлопе ничего к чему можно было бы привязаться. Я думаю что раз открытый удалили, либо его сделать заного либо переиздать с нового закрытого.
http://archlinux.org.ru/forum/topic/15088/ сабж надо почитать в любом случае.

Ключи сам генерил весной и с тех пор не менял, ssh сервер тоже не обновлял больше месяца. Пока что вижу разницу между заходит/не заходит только в правах пользователя.

P.S. На другой машине с такой же проблемой после обновления вдруг заработало, попробую эту ребутнуть, если нет то сброшу второй дебаг.
Upd: так и есть, после свежего апдейта непонятно чего работает нормально.

Opossum	# 7 лет, 6 месяцев назад
Темы: 7 Сообщения: 20 Участник с: 29 мая 2014	Upd2: Ага, это связано с последствиями вот этого бага http://archlinux.org.ru/forum/topic/16512/ Если восстановить X сессию через посылки sigcont в нужные процессы, то начинает виснуть ssh у клиента. Надо копать дальше.

sleepycat	# 7 лет, 6 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	Opossum Upd2: Ага, это связано с последствиями вот этого бага http://archlinux.org.ru/forum/topic/16512/ Если восстановить X сессию через посылки sigcont в нужные процессы, то начинает виснуть ssh у клиента. Надо копать дальше. Т.е. если запустить отдельный терминал ctr+alt+3 например и от туда набрать без судо то все работает? Я просто ед. что думаю по части разницы между заходит/не заходит - это то что под судо возможно ключи используются рутовые, видно у него все есть, а у юзера нет. (это пока ед. хоть и пальцем в небо) Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 7 лет, 6 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

Opossum
Upd2: Ага, это связано с последствиями вот этого бага http://archlinux.org.ru/forum/topic/16512/
Если восстановить X сессию через посылки sigcont в нужные процессы, то начинает виснуть ssh у клиента. Надо копать дальше.

Т.е. если запустить отдельный терминал ctr+alt+3 например и от туда набрать без судо то все работает?
Я просто ед. что думаю по части разницы между заходит/не заходит - это то что под судо возможно ключи используются рутовые, видно у него все есть, а у юзера нет. (это пока ед. хоть и пальцем в небо)

Opossum	# 7 лет, 6 месяцев назад
Темы: 7 Сообщения: 20 Участник с: 29 мая 2014	sleepycat Т.е. если запустить отдельный терминал ctr+alt+3 например и от туда набрать без судо то все работает? Работат, да. Это лишь симптом того основного бага.