[gentoo-user-br] Problema com ssh

[gentoo-user-br] Problema com ssh

[João Matos]

[-- Attachment #1.1: Type: text/plain, Size: 2289 bytes --]

Caros,

Em anos de gentoo nunca tive nenhum tipo de problema em rodar um serviço
ssh. Servidores, Desktops, x86, amd64... Porém está acontecendo algo muito
estranho dessa vez. A única diferença que essa máquina tem das anteriores, é
que é um hardened. O serviço é iniciado, escuta na porta certa, porém eu
sempre tenho erros do tipo:

ssh root@<server>
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
c9:5f:e5:22:1d:05:ef:08:6e:74:c3:7d:92:09:b5:59.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending key in /root/.ssh/known_hosts:1
RSA host key for <server> has changed and you have requested strict
checking.
Host key verification failed.

 quando apago ~/.ssh, e não consigo me autenticar:

ssh root@<server>
The authenticity of host '<server> (<server>)' can't be established.
RSA key fingerprint is c9:5f:e5:22:1d:05:ef:08:6e:74:c3:7d:92:09:b5:59.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '<server>' (RSA) to the list of known hosts.
root@<server>'s password:
Permission denied, please try again.
root@<server>'s password:
Permission denied, please try again.
root@<server>'s password:
Permission denied (publickey,password).

As vezes até consigo me autenticar por alguns minutos, mas logo eu tenho um
erro, a conexão cai, e eu não consigo me autenticar novamente, aparecendo ou
não a mensagem de identificação mudada.

Basicamente não mexi nos arquivos de configurações originais (mas mesmo
assim estão aí em anexo).

Quando eu faço ssh localmente, não tenho problemas. #ssh user@localhost.

Será que isso poderia ser algum problema de rede, perda de pacotes? Muito
estranho...

Grato,

-- 
João de Matos
Linux User #461527
Graduando em Engenharia de Computação 2005.1
UEFS - Universidade Estadual de Feira de Santana

[-- Attachment #1.2: Type: text/html, Size: 4232 bytes --]

[-- Attachment #2: ssh_config --]
[-- Type: application/octet-stream, Size: 1555 bytes --]

#	$OpenBSD: ssh_config,v 1.26 2010/01/11 01:39:46 dtucker Exp $

# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
#  1. command line options
#  2. user-specific file
#  3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options.  For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.

# Host *
#   ForwardAgent no
#   ForwardX11 no
#   RhostsRSAAuthentication no
#   RSAAuthentication yes
#   PasswordAuthentication yes
#   HostbasedAuthentication no
#   GSSAPIAuthentication no
#   GSSAPIDelegateCredentials no
#   BatchMode no
#   CheckHostIP yes
#   AddressFamily any
#   ConnectTimeout 0
#   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/identity
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
#   Port 22
#   Protocol 2,1
#   Cipher 3des
#   Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
#   MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
#   EscapeChar ~
#   Tunnel no
#   TunnelDevice any:any
#   PermitLocalCommand no
#   VisualHostKey no
#   ProxyCommand ssh -q -W %h:%p gateway.example.com

[-- Attachment #3: sshd_config --]
[-- Type: application/octet-stream, Size: 3173 bytes --]

#	$OpenBSD: sshd_config,v 1.81 2009/10/08 14:03:41 markus Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options change a
# default value.

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# The default requires explicit activation of protocol 1
#Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile	.ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing, 
# and session processing. If this is enabled, PAM authentication will 
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
PrintMotd no
PrintLastLog no
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#PermitTunnel no
#ChrootDirectory none

# no default banner path
#Banner none

# override default of no subsystems
Subsystem	sftp	/usr/lib64/misc/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#	X11Forwarding no
#	AllowTcpForwarding no
#	ForceCommand cvs server

Res: [gentoo-user-br] Problema com ssh

[Bruno Linhares]

[-- Attachment #1: Type: text/plain, Size: 2960 bytes --]

Isso acontece quando o fingerprint da máquina muda, e deixa de "bater" com o 
armazenado no .ssh/known_hosts local.
E o fingerprint só muda se a máquina for reinstalada, ou se houver alguma zuada 
intencional, até onde eu saiba. A menso que tenha algo que dinamicamente esteja 
mudando, a título de segurança (?)..

 --
Paz e Bem
Bruno Linhares
http://www.linharesinformatica.eti.br
oandarilho01 no twitter




________________________________
De: João Matos <jaoneto@gmail.com>
Para: gentoo-user-br <gentoo-user-br@lists.gentoo.org>
Enviadas: Quarta-feira, 26 de Janeiro de 2011 12:51:50
Assunto: [gentoo-user-br] Problema com ssh

Caros,

Em anos de gentoo nunca tive nenhum tipo de problema em rodar um serviço ssh. 
Servidores, Desktops, x86, amd64... Porém está acontecendo algo muito estranho 
dessa vez. A única diferença que essa máquina tem das anteriores, é que é um 
hardened. O serviço é iniciado, escuta na porta certa, porém eu sempre tenho 
erros do tipo:

ssh root@<server>
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
c9:5f:e5:22:1d:05:ef:08:6e:74:c3:7d:92:09:b5:59.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending key in /root/.ssh/known_hosts:1
RSA host key for <server> has changed and you have requested strict checking.
Host key verification failed.

 quando apago ~/.ssh, e não consigo me autenticar:

ssh root@<server>
The authenticity of host '<server> (<server>)' can't be established.
RSA key fingerprint is c9:5f:e5:22:1d:05:ef:08:6e:74:c3:7d:92:09:b5:59.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '<server>' (RSA) to the list of known hosts.
root@<server>'s password:
Permission denied, please try again.
root@<server>'s password:
Permission denied, please try again.
root@<server>'s password:
Permission denied (publickey,password).

As vezes até consigo me autenticar por alguns minutos, mas logo eu tenho um 
erro, a conexão cai, e eu não consigo me autenticar novamente, aparecendo ou não 
a mensagem de identificação mudada.

Basicamente não mexi nos arquivos de configurações originais (mas mesmo assim 
estão aí em anexo).

Quando eu faço ssh localmente, não tenho problemas. #ssh user@localhost.

Será que isso poderia ser algum problema de rede, perda de pacotes? Muito 
estranho...

Grato,
-- 
João de Matos
Linux User #461527
Graduando em Engenharia de Computação 2005.1
UEFS - Universidade Estadual de Feira de Santana



      

[-- Attachment #2: Type: text/html, Size: 5595 bytes --]

Re: [gentoo-user-br] Problema com ssh

[Pablo Hess]

Pode ser algum tipo de limitação de pacotes por minuto ou por segundo
no servidor?

Já experimentou usar 'ssh -v' ou 'ssh -v -v'? Cole aí também a saída desses.

Re: [gentoo-user-br] Problema com ssh

[Thiago Nunes]

Em 26 de janeiro de 2011 12:51, João Matos <jaoneto@gmail.com> escreveu:

> As vezes até consigo me autenticar por alguns minutos, mas logo eu tenho um
> erro, a conexão cai, e eu não consigo me autenticar novamente, aparecendo ou
> não a mensagem de identificação mudada.

Na real acho que tu tem duas máquinas com o mesmo IP na rede.

Re: [gentoo-user-br] Problema com ssh

[João Matos]

[-- Attachment #1: Type: text/plain, Size: 272 bytes --]

>
>
> Na real acho que tu tem duas máquinas com o mesmo IP na rede.
>
>
É, estou certo que esse é o problema... Valeu Thiago...

-- 
João de Matos
Linux User #461527
Graduando em Engenharia de Computação 2005.1
UEFS - Universidade Estadual de Feira de Santana

[-- Attachment #2: Type: text/html, Size: 479 bytes --]

Re: [gentoo-user-br] Problema com ssh

[Kosh Linux Admin]

[-- Attachment #1: Type: text/plain, Size: 570 bytes --]

Usa o netdiscover, vai te mostrar tudo que tem na rede.
Se a configuração é feita por DHCP é difícil ter duplicidade de IPs, já se
for manual é quase certo dar problema em algum momento.

emerge!

Em 3 de fevereiro de 2011 12:00, João Matos <jaoneto@gmail.com> escreveu:

>
>> Na real acho que tu tem duas máquinas com o mesmo IP na rede.
>>
>>
> É, estou certo que esse é o problema... Valeu Thiago...
>
>
> --
> João de Matos
> Linux User #461527
> Graduando em Engenharia de Computação 2005.1
> UEFS - Universidade Estadual de Feira de Santana
>

[-- Attachment #2: Type: text/html, Size: 1055 bytes --]