Secure Shell => Felsökning ssh-problem

Privat nyckel accepteras inte (OpenSSH-klienter debug)

Som standard är den mesta informationen dold för användaren. Du kan använda -v omkopplare för att få en fullständig logg över anslutningsförsöket, vilket vanligtvis pekar på problemet genom att visa varför beteendet är annorlunda än du förväntar dig.

Låt oss anta att du ansluter till servern example.com med ssh (eller annan OpenSSH-klient som sftp eller scp ) och din privata nyckel accepteras inte av servern och servern frågar efter lösenordet (eller avvisar anslutningen):

$ ssh example.com
[email protected]'s password:

Försök köra ssh med -vvv switchar, som kommer att skriva ut alla felsökningsmeddelanden. Det kommer att vara mycket information, men efter en tid är det ganska lätt att förstå att:

$ ssh -vvv example.com

Det vanligaste problemet är att nyckeln inte befinner sig på den förväntade platsen. Du kan förvänta dig att liknande rader dyker upp och klagar över saknade filer. Att kontrollera att din fil verkligen har läst är en bra start:

debug1: identity file /home/username/.ssh/id_dsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/username/.ssh/id_dsa-cert type -1

Vi kan fortsätta till autentiseringsdelen. Nyckeln kan erbjudas men avvisas av servern på grund av problem med serverkonfigurationen. Loggen kan se ut på något sätt så:

debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering RSA public key: username@localhost
debug3: send_pubkey_test
debug3: send packet: type 50
debug2: we sent a publickey packet, wait for reply
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password

REMOTE VÄST IDENTIFIKATION HAR ÄNDRAT!

Det vanliga felet med att använda ssh är att se felet som

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
SHA256:L5ri/Xdgpuals893ej1z5F1wlg1n2YNeBf/tsABX+QQ.
Please contact your system administrator.
Add correct host key in /Users/username/.ssh/known_hosts to get rid of this message.
Offending RSA key in /Users/username/.ssh/known_hosts:12
RSA host key for *IP address* has changed and you have requested strict checking.
Host key verification failed.

Det betyder att du anslöt till samma server tidigare och den identifierades med olika värdnycklar. Om du är medveten om att du ändrade servernycklarna, installerade servern om igen eller om serveradministratören meddelade några ändringar, är det vanligtvis okej att ta bort den gamla nyckeln och låta ssh lagra den nya.

Den gamla nyckeln kan tas bort med hjälp av ssh-keygen :

ssh-keygen -R *IP address*

Och nästa anslutning bör be dig verifiera det nya fingeravtrycket:

ssh192.168.0.128
The authenticity of host '192.168.0.128 (192.168.0.128)' can't be established.
ECDSA key fingerprint is SHA256:L5ri/Xdgpuals893ej1z5F1wlg1n2YNeBf/tsABX+QQ.
Are you sure you want to continue connecting (yes/no)?

Om du inte känner till något av ovanstående är det bästa att kontakta din serveradministratör för att se till att allt är ok. Om inte, skulle den potentiella angriparen kunna få både din autentiseringsinformation och all överförd information!

Anslutning vägras

Ett "Connection Refused" -fel kommer att uppstå om din klient skickar en anslutningsbegäran till en fjärrservervärd och fjärrvärden svarar för att säga att den vägrar att acceptera begäran. Felet "Connection Refused" innebär i huvudsak att datorn inte accepterar anslutningar till den begärda IP-adressen och porten.

"Anslutning nekad" kan orsakas av en brandvägg som blockerar anslutningsförfrågningar. En brandvägg som är konfigurerad för att blockera anslutningar till en viss slutpunkt kan ställas in för att släppa anslutningsförfrågningar - i vilket fall klienten aldrig får ett svar och kommer så småningom att timeout. Eller brandväggen kan svara på anslutningsförfrågningar med avslagssvar.

Bortsett från brandväggar, i fallet med SSH, har "anslutning nekad" några möjliga orsaker:

Du kan använda fel portnummer för att ansluta. Standardportnumret för SSH är 22, men vissa människor driver ssh-tjänsten i en annan hamn för att avskräcka obehöriga åtkomstförsök.
Du kan försöka ansluta till fel dator. Du kan ha skrivit in värdnamnet eller IP-adressen felaktigt. Eller så kan datorn använda en dynamisk tilldelad adress som har ändrats.
Ssh-serverprocessen kanske inte körs:
- Det kanske inte har startats ännu om systemet håller på att startas.
- Det kan ha inaktiverats. t.ex. när systemet är i enanvändarläge.
- Det kan ha felkonfigurerat, vilket orsakat att det misslyckades med att starta.
- Datorn kanske inte har en SSH-server konfigurerad. MS Windows-system inkluderar vanligtvis inte en SSH-server. På vissa Linux-system kan SSH-servern vara en valfri komponent. OS X innehåller en SSH-server, men den är som standard inaktiverad.
SSH-serverprocessen kanske inte lyssnar på anslutningar på det specifika IP-gränssnittet som du försöker ansluta till. De flesta datorer har minst två IP-gränssnitt, ett "localhost" -gränssnitt och ett eller flera nätverksgränssnitt. Varje aktivt gränssnitt har en IP-adress associerad med den. En SSH-server konfigureras vanligtvis för att acceptera anslutningar på alla IP-gränssnitt. Men det kan konfigureras för att acceptera anslutningar endast på vissa gränssnitt. I så fall vägrar datorn anslutningar till en IP-adress som SSH-servern inte lyssnar på, även om anslutningsbegäran har rätt port.
Servern kan ha en eftersläpning av anslutningsförfrågningar till samma port. Detta är sällsynt och ovanligt, men om värden tar emot anslutningsförfrågningar snabbare än de kan hanteras kommer värden så småningom att avvisa nya anslutningsförfrågningar.

Observera att brandväggar åt sidan, "anslutning vägrade" betyder att du kommunicerar med fjärrdatorn - det är helt enkelt inte acceptera anslutningen begäran.

Anslutningen avbröts

Ett "anslutningsavbrott" -fel uppstår när fjärrsystemet inte svarar på klientens försök att öppna en TCP / IP-anslutning. De vanligaste orsakerna inkluderar:

En brandvägg blockerar anslutningsförsöket på porten som du använder:
- Brandväggen kan vara på klientsidan, blockera utgående anslutningar, på serversidan, blockera inkommande anslutningar eller någon annanstans på vägen.
- Rotproblemet kan vara att du använder fel portnummer.
Värden du försöker ansluta till kan vara offline.
En del av nätverket mellan klienten och servern kan vara nere eller störa.
Det kan vara problem med nätverksrutning.

Det är svårt att diagnostisera grundorsaken till timeouts i anslutningen.

ssh_exchange_identification: läs: Återställning av anslutning av peer

Det här felmeddelandet kan produceras av OpenSSH ssh klienten. Det betyder att TCP-anslutningen mellan klienten och servern stängdes onormalt av servern omedelbart efter att den accepterats. Vanliga orsaker till detta meddelande inkluderar:

SSH-serverprocessen fungerar inte - till exempel kraschade den.
En brandvägg, router eller annan nätverksenhet mellan klienten och servern stör SSH-anslutningen.

Fraserna i felmeddelandet anger specifikt vad som har hänt:

ssh_exchange_identification: 1. När en SSH-klient har anslutit sig till en SSH-server är det första steget i att starta SSH-protokollet att servern skickar sin programvaruversion till klienten. Ett fel som innehåller "ssh_exchange_identification" indikerar att felet inträffade omedelbart efter upprättandet av TCP-anslutningen, medan klienten väntade på programvaruversionen från servern.

Återställning av anslutning: En återställning av anslutningen innebär att TCP-anslutningen var "onormalt stängd". Du kan få detta om mjukvaruprocessen som håller en av TCP-anslutningarna kraschar. Nätverksbrandväggar kan konfigureras för att använda anslutningsåterställningar som ett sätt att blockera TCP-anslutningar.

med peer betyder att TCP-anslutningen stängdes från "andra änden" av anslutningen. I detta fall är den "andra änden" fjärr SSH-servern.

Observera att det här felet inte anger något slags autentiseringsfel. Servern stängde TCP-anslutningen omedelbart efter att ha accepterat den. Klienten och servern har ännu inte utbytt data. Servern har ännu inte skickat en värdnyckel till klienten och klienten har ännu inte försökt verifiera med servern.

ssh_exchange_identification: Anslutning stängd av fjärrvärden

Det här felmeddelandet kan produceras av OpenSSH ssh-klienten. Det betyder att TCP-anslutningen mellan klienten och servern stängdes av servern omedelbart efter att den accepterats. Det här meddelandet indikerar vanligtvis att SSH-servern har konfigurerats för att inte acceptera anslutningar från klienten av någon anledning:

Servern kan vara konfigurerad för att vägra anslutningar från klientens IP-adress.
Servern kan konfigureras med en gräns för antalet aktiva SSH-anslutningar.
Klienten kan ha anslutit till något som inte är en SSH-server.

Fraserna i felmeddelandet anger specifikt vad som har hänt:

Anslutning stängd: Detta betyder att TCP-anslutningen stängdes på normalt sätt. Det indikerar att SSH-servern medvetet stängde anslutningen. Detta i motsats till "Återställning av anslutning", vilket kan indikera att SSH-servern kraschade eller fungerade inte.

av fjärrvärd betyder att TCP-anslutningen stängdes från "andra änden" av anslutningen. I detta fall är den "andra änden" fjärr SSH-servern.

Modified text is an extract of the original Stack Overflow Documentation

Licensierat under CC BY-SA 3.0

Inte anslutet till Stack Overflow

Secure Shell
Felsökning ssh-problem

Sök…