[RATKAISTU] ssh tunneli julkisen verkon yli?

[vilpas]

Minun tapauksessa ratkaisu oli laitaa nat boksin portti 2222 osoittamaan porttia 22.
ja ajamaan komennolla

Koodia: [Valitse]

ssh -p 2222 ville@palvelin.org


Moro olen yrittänyt http://linux.fi/wiki/SSH-tunneli ohjeiden avulla tehdä ssh tunnelia omaan palvelimeeni mutta en ole saanut sitä onnistumaan omassa verkossa kyllä pääsen syöttämällä ipn mutta en pääse verkkoosoitteen kautta kirjautumaan palvelimelle

Koodia: [Valitse]

ssh -D 22 kayttajatunnus@palvelin.org
ssh: connect to host palcelin.org port 22: Connection refused
ville@ville-GA-MA770-UD3:~$

itellä ubuntu 11.10 palvelimella ubuntu server 10.04

[cygnus4]

"Connection refused"

jokin palomuuri välissä?

[matsukan]

yirtät siis yhteyttä esim. yrityksen intranetin verkosta omalle koneelle? Tarvitset corksrew ohjelman.

[vilpas]

avasin palomuurista portin 22joten sen ei pitäisi olla ongelma.
siis julkisen verkon kuten 3g:n kautta kännykällä

[JoniR]

Tarvisteeko tuolle ssh:lle kertoa hyväksyttävät käyttäjät/ryhmät? Olen aina tuon tehnyt niin en tiedä, että toimiiko tuo ilman
http://linux.fi/wiki/SSH-turvatoimet#Yhteyden_salliminen_vain_tietyilt.C3.A4_k.C3.A4ytt.C3.A4jilt.C3.A4

Ja onhan varmasti tarkoitus ollut tehdä SSH-yhteys IP-liikenteen tunnelointiin eikä pelkkää SSH-etäyhteyttä?

Tuleekos palvelimelle mitään logiin?

cat /var/log/auth.log

-Joni

[vilpas]

Tarkoitus olis tuota ssh komentotulkkia käyttää esim kännykällä tai läppärillä kun en ole kotona.
tommosen heittää kun yrittää julkisella osoitteella kirjautua.
eipä kai tuossa mitään salaista ole...

Koodia: [Valitse]

Nov  6 20:45:09 Dell-850-Ville-1 sshd[30644]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ville-ga-ma770-ud3.elisa  user=ville
Nov  6 20:45:09 Dell-850-Ville-1 sshd[30644]: pam_winbind(sshd:auth): getting password (0x00000388)
Nov  6 20:45:09 Dell-850-Ville-1 sshd[30644]: pam_winbind(sshd:auth): pam_get_item returned a password
Nov  6 20:45:09 Dell-850-Ville-1 sshd[30644]: pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_USER_UNKNOWN (10), NTSTATUS: NT_STATUS_NO_SUCH_USER, Error message was: No such user
Nov  6 20:45:12 Dell-850-Ville-1 sshd[30644]: Failed password for ville from 192.168.100.36 port 56763 ssh2
Nov  6 20:45:16 Dell-850-Ville-1 sshd[30644]: Accepted password for ville from 192.168.100.36 port 56763 ssh2
Nov  6 20:45:16 Dell-850-Ville-1 sshd[30644]: pam_unix(sshd:session): session opened for user ville by (uid=0)
Nov  6 20:45:29 Dell-850-Ville-1 sudo:    ville : TTY=pts/0 ; PWD=/home/ville ; USER=root ; COMMAND=/usr/bin/nano /etc/ssh/sshd_config
Nov  6 20:46:52 Dell-850-Ville-1 sshd[30753]: error writing /proc/self/oom_adj: Permission denied
Nov  6 20:46:52 Dell-850-Ville-1 sshd[30753]: error: Bind to port 22 on 0.0.0.0 failed: Permission denied.
Nov  6 20:46:52 Dell-850-Ville-1 sshd[30753]: error: Bind to port 22 on :: failed: Permission denied.
Nov  6 20:46:52 Dell-850-Ville-1 sshd[30753]: fatal: Cannot bind any address.
Nov  6 20:47:00 Dell-850-Ville-1 sudo:    ville : TTY=pts/0 ; PWD=/home/ville ; USER=root ; COMMAND=/etc/init.d/ssh restart
Nov  6 20:47:00 Dell-850-Ville-1 sshd[957]: Received signal 15; terminating.
Nov  6 20:47:00 Dell-850-Ville-1 sshd[30770]: Server listening on 0.0.0.0 port 22.
Nov  6 20:47:00 Dell-850-Ville-1 sshd[30770]: Server listening on :: port 22.


[JoniR]

Kyllä noissa asetuksissa on jotakin mennyt vikaan kun myös tuo winbind tuonne myös sotkeutuu ja olettaen, että et yrittänyt käyttää root tunnusta kirjautuessa. Taidat tarvita nyt enemmän tätä asiaa tuntevan kaverin neuvomaan kuin minut.

Toimiikos tuo jos yrität kirjautua sisäverkosta toisella koneella käyttäen sisäverkon osoitetta? Minulla ei ainakaan toimi koko ssh yhteys, jos yritän ottaa yhteyden sisäverkon koneeseen ulkoverkon kautta, koneelta, joka on jo sisäverkossa.

Tarkoitus olis tuota ssh komentotulkkia käyttää esim kännykällä tai läppärillä kun en ole kotona.

Jos ei tuota tunnelointia tarvitse, niin näillä ohjeilla pitäs pärjätä: http://wiki.ubuntu-fi.org/ssh-palvelin

-Joni


Edit: Koska tuo SSH yrittää huudella tuonne 0.0.0.0 osoitteseen niin onko sinulla kommentti otettu pois tiedoston /etc/ssh/sshd_config riviltä:
#ListenAddress 0.0.0.0

Lähteekö tuo sshd-daemon muuten käyntiin ilman virheitä?

[vilpas]

Kyllä se sisäverkossa toimii tuolla 192.168.100.33 muttei internetin kautta saa vaikka otin tuon täpän siitä pois.
En osaa sanoa lähteekö sshd-daemon käyntiin ilman virheitä..

[ajaaskel]

Ongelmasi lienee tässä tavalla tai toisella:   PAM_USER_UNKNOWN (10)

Tuo on myös hyvä hakusana Googleen.

Täällä joku on sen ratkaissut (jälleen jollain / yhdellä tavalla, ainakin lukee "solved") mutta tuo on englanniksi:

http://ubuntuforums.org/archive/index.php/t-1604060.html  


Edit:   Hätäinen läpiluku ei anna aivan selkeää kuvaa tuosta, ensimmäisten kommenttien joukossa (HermanAB) sanotaan että "käytä winbind: ia vain jos sinulla on käytössä Active Directory....".

Ajattelisin vähän samaa kuin "JoniR" :

Kyllä noissa asetuksissa on jotakin mennyt vikaan kun myös tuo winbind tuonne myös sotkeutuu

eli miksi ihmeessä se yrittää "wintoosa" loginia ?  Jotain asetuksissa tai itse login yrityksessä väärin ?


Edit2:  
Pikainen teeman selaus netistä antaa ymmärtää että tuo "winbind" mahdollistaa sen että AD-käyttäjät voivat olla SSH-käyttäjiä.  Tuon sanotaan toimivan hyvin mutta vaatinee lisäsuojauksia ja -toimia ettei käyttäjätunnuksia ja salasanoja varastettaisi raa'an voiman hyökkäyksellä.   Loggaustason nostaminen olisi paikallaan myös tuossa tilanteessa, tässä vinkki:

http://forums.freebsd.org/archive/index.php/t-27178.html

Täällä ehdotetaan käyttämään "fail2ban" tai "denyhosts" tuossa tilanteessa:

http://www.dickson.me.uk/

tai poistamaan "winbind" jos ssh-loginia AD-tunnuksilla ei tarvita:

Koodia: [Valitse]

sudo apt-get remove winbind

[vilpas]

tai poistamaan "winbind" jos ssh-loginia AD-tunnuksilla ei tarvita:

Koodia: [Valitse]

sudo apt-get remove winbind

poistin tuon winpindin ja reboottasin ei toimi vieläkään mutta loki

Koodia: [Valitse]

Nov  7 20:58:22 Dell-850-Ville-1 sudo:    ville : TTY=pts/0 ; PWD=/home/ville ; USER=root ; COMMAND=/usr/bin/apt-get remove winbind
Nov  7 21:09:01 Dell-850-Ville-1 CRON[10964]: pam_unix(cron:session): session opened for user root by (uid=0)
Nov  7 21:09:01 Dell-850-Ville-1 CRON[10964]: pam_unix(cron:session): session closed for user root
Nov  7 21:17:01 Dell-850-Ville-1 CRON[11011]: pam_unix(cron:session): session opened for user root by (uid=0)
Nov  7 21:17:01 Dell-850-Ville-1 CRON[11011]: pam_unix(cron:session): session closed for user root
Nov  7 21:26:59 Dell-850-Ville-1 sudo:    ville : TTY=pts/0 ; PWD=/home/ville ; USER=root ; COMMAND=/sbin/reboot
Nov  7 21:28:24 Dell-850-Ville-1 sshd[483]: Server listening on 0.0.0.0 port 22.
Nov  7 21:28:31 Dell-850-Ville-1 sshd[483]: Received signal 15; terminating.
Nov  7 21:28:31 Dell-850-Ville-1 sshd[910]: Server listening on 0.0.0.0 port 22.
Nov  7 21:28:31 Dell-850-Ville-1 perl: pam_unix(webmin:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=  user=root
Nov  7 21:28:32 Dell-850-Ville-1 sshd[919]: Accepted password for ville from 192.168.100.36 port 41089 ssh2
Nov  7 21:28:32 Dell-850-Ville-1 sshd[919]: pam_unix(sshd:session): session opened for user ville by (uid=0)
Nov  7 21:28:34 Dell-850-Ville-1 webmin[956]: Webmin starting
Nov  7 21:29:18 Dell-850-Ville-1 sudo:    ville : TTY=pts/1 ; PWD=/home/ville ; USER=root ; COMMAND=/sbin/poweroff
Nov  7 21:32:05 Dell-850-Ville-1 sshd[483]: Server listening on 0.0.0.0 port 22.
Nov  7 21:32:12 Dell-850-Ville-1 sshd[483]: Received signal 15; terminating.
Nov  7 21:32:12 Dell-850-Ville-1 sshd[942]: Server listening on 0.0.0.0 port 22.
Nov  7 21:32:16 Dell-850-Ville-1 perl: pam_unix(webmin:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=  user=root
Nov  7 21:32:18 Dell-850-Ville-1 webmin[977]: Webmin starting
Nov  7 21:32:42 Dell-850-Ville-1 sshd[1047]: Accepted password for ville from 192.168.100.36 port 41126 ssh2
Nov  7 21:32:42 Dell-850-Ville-1 sshd[1047]: pam_unix(sshd:session): session opened for user ville by (uid=0)
Nov  7 21:39:01 Dell-850-Ville-1 CRON[1231]: pam_unix(cron:session): session opened for user root by (uid=0)
Nov  7 21:39:01 Dell-850-Ville-1 CRON[1231]: pam_unix(cron:session): session closed for user root


[nm]

Moro olen yrittänyt http://linux.fi/wiki/SSH-tunneli ohjeiden avulla tehdä ssh tunnelia omaan palvelimeeni mutta en ole saanut sitä onnistumaan omassa verkossa kyllä pääsen syöttämällä ipn mutta en pääse verkkoosoitteen kautta kirjautumaan palvelimelle

Koodia: [Valitse]

ssh -D 22 kayttajatunnus@fincast.dyndns.org
ssh: connect to host fincast.dyndns.org port 22: Connection refused
ville@ville-GA-MA770-UD3:~$


En nyt hahmota, millaisen tunnelin oikeasti haluaisit rakentaa, mutta tuo virhe johtuu siitä että osoitteessa fincast.dyndns.org portin 22 liikenne ei ohjaudu SSH-palvelimelle. Ilmeisesti sinulla on jokin erillinen palomuuri/NAT-boksi välissä? Olet avannut portin 22, mutta oletko myös ohjannut kyseisen portin liikenteen oikealle koneelle sisäverkossa?

[vilpas]

Moro olen yrittänyt http://linux.fi/wiki/SSH-tunneli ohjeiden avulla tehdä ssh tunnelia omaan palvelimeeni mutta en ole saanut sitä onnistumaan omassa verkossa kyllä pääsen syöttämällä ipn mutta en pääse verkkoosoitteen kautta kirjautumaan palvelimelle

Koodia: [Valitse]

ssh -D 22 kayttajatunnus@fincast.dyndns.org
ssh: connect to host fincast.dyndns.org port 22: Connection refused
ville@ville-GA-MA770-UD3:~$


En nyt hahmota, millaisen tunnelin oikeasti haluaisit rakentaa, mutta tuo virhe johtuu siitä että osoitteessa fincast.dyndns.org portin 22 liikenne ei ohjaudu SSH-palvelimelle. Ilmeisesti sinulla on jokin erillinen palomuuri/NAT-boksi välissä? Olet avannut portin 22, mutta oletko myös ohjannut kyseisen portin liikenteen oikealle koneelle sisäverkossa?

joo tuossa välissä on tuo elisan modeemi jossa on nat mutta oon sen avannu ainaki tän mukaa

edit

tarkoitan tunnelia että saan ssh yhteyden pääälle kännykästä tai vastaavasta. onko se ny tunneli vai ei sitä en tiedä

[matsukan]

miksi käytät tuota -D 22 porttiin koska se on jo oletusportti ssh:lle?

Koodia: [Valitse]

ssh -v <whatever> laittaa ssh login kirjautumisen verbose muotoon.

voisi olla mielenkiintoista postata verbose tiedot tänne.

[nm]

Koodia: [Valitse]

ssh -v <whatever> laittaa ssh login kirjautumisen verbose muotoon.

voisi olla mielenkiintoista postata verbose tiedot tänne.

Tätähän voimme itsekin kokeilla, koska vilpas kertoi palvelimensa osoitteen. Ongelmana on kuitenkin edelleen se, ettei liikenne kulje SSH-palvelimelle asti.

Antaako NAT-boksi mitään lokia yhteydenotoista ja uudelleenohjauksista?

[vilpas]

Koodia: [Valitse]

ssh -v <whatever> laittaa ssh login kirjautumisen verbose muotoon.

voisi olla mielenkiintoista postata verbose tiedot tänne.

Tätähän voimme itsekin kokeilla, koska vilpas kertoi palvelimensa osoitteen. Ongelmana on kuitenkin edelleen se, ettei liikenne kulje SSH-palvelimelle asti.

Antaako NAT-boksi mitään lokia yhteydenotoista ja uudelleenohjauksista?

Juu onhan siellä nat loki paitsi että siellä ei ole yhtään kohtaa joissa mainitan portti 22

edit.

yritän kirjautua ulkoisen osoitteen kautta mutta loki ei näytä liikkuvan ollenkaa
voisikohan portin vaihto auttaa?
Paljon oli liikennettä porttiin 34868 liittyyköhän tuo asiaan?

edit 2 nat:in disabloiminen ei näköjään vaikuta asiaan joten mitenköhän vaihtaisin sshn porttia.

Koodia: [Valitse]

ville@ville-GA-MA770-UD3:~$ ssh -v ville@fincast.dyndns.org
OpenSSH_5.8p1 Debian-7ubuntu1, OpenSSL 1.0.0e 6 Sep 2011
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to fincast.dyndns.org [88.114.39.62] port 22.
debug1: connect to address 88.114.39.62 port 22: Connection refused
ssh: connect to host fincast.dyndns.org port 22: Connection refused
ville@ville-GA-MA770-UD3:~$


[JoniR]

Nyt on kyllä jo aivan ongelmien ampumista, mutta olethan muistannut sammuttaa ja käynnistellä tuota modeemia uudelleen? Minulla oli joskus Telewell modeemin kanssa ihmeellisiä ongelmia, että asetukset ei menny millään perille vaikka sille tekikin käyttöliittymästä "save & restart" toiminnon.
Oletkos muuten valinnut tuon SSH palvelun tuolta "preconfigured applications" alta? ainahan voi olla, että juuri tuo kyseinen modeemi tarvitsee jotain muita asetuksia ja tuollaiset luulisi olevan tuolla sitten valmiina.

-Joni

[nm]

yritän kirjautua ulkoisen osoitteen kautta mutta loki ei näytä liikkuvan ollenkaa
voisikohan portin vaihto auttaa?

Kannattaa kokeilla sitäkin, ainakin julkisen osoitteen puolella, eli ohjaa vaikkapa NAT-boksin portin 2222 liikenne normaaliin SSH-palvelimen porttiin 22. Tallenna asetukset ja käytä modeemista virrat hetkeksi pois ja takaisin päälle. Sitten yhteydenotto komennolla:

Koodia: [Valitse]

ssh -p 2222 ville@fincast.dyndns.org

[vilpas]

noniin nyt toimii laitoin nat boksista 2222 osoittamaan porttia 22 niin toimii
kiitos