[РЕШЕНО] Openssh. Проблема с внешним подключением к серверу

zhksteal	# 9 лет, 10 месяцев назад (отредактировано 9 лет, 9 месяцев назад)
Темы: 13 Сообщения: 56 Участник с: 11 марта 2010	Добрый день! Поднял Openssh согласно wiki. Проблема в том, что с самого арча к серверу подключаюсь: `[bsscp@bssonline ~]$ ssh -p 22 bsscp@10.78.42.203 bsscp@10.78.42.203's password: Last login: Fri Aug 7 18:19:47 2015 from wscpxxxxx` При попытке подключиться из офисной сети через Putty с Windows машины даже не появляется приглашение ввода имени пользователя/пароля. Пинги до арча с компа ходят. iptables не запущен, правил нет. В какую сторону смотреть? Конфигурация sshd: [bsscp@bssonline ~]$ cat /etc/ssh/sshd_config # $OpenBSD: sshd_config,v 1.95 2015/04/27 21:42:48 djm Exp $ # This is the sshd server system-wide configuration file. See # sshd_config(5) for more information. # This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin # The strategy used for options in the default sshd_config shipped with # OpenSSH is to specify options with their default value where # possible, but leave them commented. Uncommented options override the # default value. #Port 6022 #AddressFamily any #ListenAddress 0.0.0.0 #ListenAddress :: # The default requires explicit activation of protocol 1 #Protocol 2 # To allow access only for some users AllowUsers bsscp # HostKey for protocol version 1 #HostKey /etc/ssh/ssh_host_key # HostKeys for protocol version 2 #HostKey /etc/ssh/ssh_host_rsa_key #HostKey /etc/ssh/ssh_host_dsa_key #HostKey /etc/ssh/ssh_host_ecdsa_key #HostKey /etc/ssh/ssh_host_ed25519_key # Lifetime and size of ephemeral version 1 server key #KeyRegenerationInterval 1h #ServerKeyBits 1024 # Ciphers and keying #RekeyLimit default none # Logging # obsoletes QuietMode and FascistLogging #SyslogFacility AUTH #LogLevel INFO # Authentication: #LoginGraceTime 2m #PermitRootLogin no #StrictModes yes #MaxAuthTries 6 #MaxSessions 10 #RSAAuthentication yes #PubkeyAuthentication yes # The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2 # but this is overridden so installations will only check .ssh/authorized_keys AuthorizedKeysFile .ssh/authorized_keys #AuthorizedPrincipalsFile none #AuthorizedKeysCommand none #AuthorizedKeysCommandUser nobody # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts #RhostsRSAAuthentication no # similar for protocol version 2 #HostbasedAuthentication no # Change to yes if you don't trust ~/.ssh/known_hosts for # RhostsRSAAuthentication and HostbasedAuthentication #IgnoreUserKnownHosts no # Don't read the user's ~/.rhosts and ~/.shosts files #IgnoreRhosts yes # To disable tunneled clear text passwords, change to no here! #PasswordAuthentication yes #PermitEmptyPasswords no # Change to no to disable s/key passwords ChallengeResponseAuthentication no # Kerberos options #KerberosAuthentication no #KerberosOrLocalPasswd yes #KerberosTicketCleanup yes #KerberosGetAFSToken no # GSSAPI options #GSSAPIAuthentication no #GSSAPICleanupCredentials yes # Set this to 'yes' to enable PAM authentication, account processing, # and session processing. If this is enabled, PAM authentication will # be allowed through the ChallengeResponseAuthentication and # PasswordAuthentication. Depending on your PAM configuration, # PAM authentication via ChallengeResponseAuthentication may bypass # the setting of "PermitRootLogin without-password". # If you just want the PAM account and session checks to run without # PAM authentication, then enable this but set PasswordAuthentication # and ChallengeResponseAuthentication to 'no'. UsePAM yes #AllowAgentForwarding yes #AllowTcpForwarding yes #GatewayPorts no #X11Forwarding no #X11DisplayOffset 10 #X11UseLocalhost yes #PermitTTY yes PrintMotd no # pam does that #PrintLastLog yes #TCPKeepAlive yes #UseLogin no UsePrivilegeSeparation sandbox # Default for new installations. #PermitUserEnvironment no #Compression delayed #ClientAliveInterval 0 #ClientAliveCountMax 3 #UseDNS no #PidFile /run/sshd.pid #MaxStartups 10:30:100 #PermitTunnel no #ChrootDirectory none #VersionAddendum none # no default banner path #Banner none # override default of no subsystems Subsystem sftp /usr/lib/ssh/sftp-server # Example of overriding settings on a per-user basis #Match User anoncvs # X11Forwarding no # AllowTcpForwarding no # PermitTTY no # ForceCommand cvs server

# 9 лет, 10 месяцев назад (отредактировано 9 лет, 9 месяцев назад)

Сообщения: 56

Участник с: 11 марта 2010

Добрый день!
Поднял Openssh согласно wiki.
Проблема в том, что с самого арча к серверу подключаюсь:


[bsscp@bssonline ~]$ ssh -p 22 bsscp@10.78.42.203
bsscp@10.78.42.203's password:
Last login: Fri Aug  7 18:19:47 2015 from wscpxxxxx

При попытке подключиться из офисной сети через Putty с Windows машины даже не появляется приглашение ввода имени пользователя/пароля.
Пинги до арча с компа ходят.

iptables не запущен, правил нет.

В какую сторону смотреть?
Конфигурация sshd:


[bsscp@bssonline ~]$ cat /etc/ssh/sshd_config
#       $OpenBSD: sshd_config,v 1.95 2015/04/27 21:42:48 djm Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

#Port 6022
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# The default requires explicit activation of protocol 1
#Protocol 2

# To allow access only for some users
AllowUsers bsscp

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

# Ciphers and keying
#RekeyLimit default none

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin no
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#RSAAuthentication yes
#PubkeyAuthentication yes

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
AuthorizedKeysFile      .ssh/authorized_keys

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
PrintMotd no # pam does that
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
UsePrivilegeSeparation sandbox          # Default for new installations.
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none

# no default banner path
#Banner none

# override default of no subsystems
Subsystem       sftp    /usr/lib/ssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#       X11Forwarding no
#       AllowTcpForwarding no
#       PermitTTY no
#       ForceCommand cvs server

kurych	# 9 лет, 10 месяцев назад
Темы: 0 Сообщения: 1395 Участник с: 06 ноября 2011	В настройках putty указываете явно, что надо использовать имя пользователя bsscp (AllowUsers bsscp)? С windows-машины попробуйте из командной оболочки зайти с помощью telnet на 22 порт. Если все хорошо, должно выглядеть как-то так: $ telnet 192.168.1.1 22 Trying 192.168.1.1... Connected to 192.168.1.1. Escape character is '^]'. SSH-2.0-OpenSSH_6.9 После этого можно будет дальше разбираться

kurych

# 9 лет, 10 месяцев назад

Темы: 0

Сообщения: 1395

Участник с: 06 ноября 2011

В настройках putty указываете явно, что надо использовать имя пользователя bsscp (AllowUsers bsscp)?

С windows-машины попробуйте из командной оболочки зайти с помощью telnet на 22 порт. Если все хорошо, должно выглядеть как-то так:

$ telnet 192.168.1.1 22
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.9

После этого можно будет дальше разбираться

zhksteal	# 9 лет, 10 месяцев назад
Темы: 13 Сообщения: 56 Участник с: 11 марта 2010	kurych В настройках putty указываете явно, что надо использовать имя пользователя bsscp (AllowUsers bsscp)? С windows-машины попробуйте из командной оболочки зайти с помощью telnet на 22 порт. Если все хорошо, должно выглядеть как-то так: $ telnet 192.168.1.1 22 Trying 192.168.1.1... Connected to 192.168.1.1. Escape character is '^]'. SSH-2.0-OpenSSH_6.9 После этого можно будет дальше разбираться Да, в Putty "вбит" bsscp. Попробовал по вашей рекомендации telnet 22. На выходе имею: SSH-2.0-OpenSSH_6.9

zhksteal

# 9 лет, 10 месяцев назад

Темы: 13

Сообщения: 56

Участник с: 11 марта 2010

kurych
В настройках putty указываете явно, что надо использовать имя пользователя bsscp (AllowUsers bsscp)?

С windows-машины попробуйте из командной оболочки зайти с помощью telnet на 22 порт. Если все хорошо, должно выглядеть как-то так:

$ telnet 192.168.1.1 22
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.9

После этого можно будет дальше разбираться

Да, в Putty "вбит" bsscp.
Попробовал по вашей рекомендации telnet 22. На выходе имею:
SSH-2.0-OpenSSH_6.9

kurych	# 9 лет, 10 месяцев назад
Темы: 0 Сообщения: 1395 Участник с: 06 ноября 2011	Тогда попробуйте в putty использовать не сохраненную сессию, а новую, без всяких настроек. То есть, просто введите в поле "Host name (or IP address)" нужный адрес и попробуйте соединиться. Если получится - с настройками сессии перемудрили. Если нет, то надо смотреть логи. На стороне сервера `journalctl -u sshd.service` на стороне putty включить логгирование в меню "Session-Logging"

kurych

# 9 лет, 10 месяцев назад

Темы: 0

Сообщения: 1395

Участник с: 06 ноября 2011

Тогда попробуйте в putty использовать не сохраненную сессию, а новую, без всяких настроек. То есть, просто введите в поле "Host name (or IP address)" нужный адрес и попробуйте соединиться.
Если получится - с настройками сессии перемудрили. Если нет, то надо смотреть логи. На стороне сервера

journalctl -u sshd.service

на стороне putty включить логгирование в меню "Session-Logging"

zhksteal	# 9 лет, 9 месяцев назад
Темы: 13 Сообщения: 56 Участник с: 11 марта 2010	Добрый день! Решил проблему. Поставил Openssh на Win машину. При попытке подключения выдало "no kex alg". Goggle выдал решение в виде добавить в sshd.conf строчку: `KexAlgorithms diffie-hellman-group1-sha1` Всем спасибо.