- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Система: CentOS 4.4 (Red Hat linux)
Собственно, проблема:
ssh (SSH-1.99-OpenSSH_3.9p1) перестал пускать под всеми пользователеми.
логины, пароли точно верные.
Сервер под управлением DirectAdmin
Доступ к DirectAdmin есть, на фтп заходит нормально.
Лог соедининия:
18:38:51.051 Starting a new SSH2 session.
18:38:51.051 Connecting to SSH2 server 80.93.57.193:22.
18:38:51.051 Connected.
18:38:51.051 Starting first key exchange.
18:38:51.051 Server version string: SSH-1.99-OpenSSH_3.9p1
18:38:51.051 New host key received. Algorithm: ssh-rsa, Size: 1024 bits, MD5 Fingerprint: c9:56:9f:53:7f:63:f4:68:85:05:c7:6d:f5:27:16:0a, Bubble-Babble: xusik-hopef-metyf-savil-lohot-mykov-tacim-hagis-fakas-tagom-ryxyx.
18:38:51.051 First key exchange completed.
18:38:51.051 Key exchange: diffie-hellman-group14-sha1. Session encryption: aes256-cbc, MAC: hmac-sha1, compression: none.
18:38:51.051 Attempting 'password' authentication.
18:38:51.051 Authentication failed. Remaining authentication methods: 'publickey,gssapi-with-mic,password'.
18:38:52.052 Session terminated on user's request.
Сегодня пытались поставить Яндекс.Сервер. Для его работы требовался 32
битный libstdc++.so.5 - поставили. После поставили Яндекс.Сервер.
Через некоторое время ssh перестал пускать.
Подозрения на то, что libstdc++.so.5 чего-то там с ключами мог
намудрить.
Содержимое /etc/ssh/sshd_config :
# $OpenBSD: sshd_config,v 1.69 2004/05/23 23:59:53 dtucker Exp $
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.
#Port 22
#Protocol 2,1
#ListenAddress 0.0.0.0
#ListenAddress ::
# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 768
# Logging
#obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO
# Authentication:
#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no
PasswordAuthentication yes
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no
# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
# GSSAPI options
#GSSAPIAuthentication no
GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
GSSAPICleanupCredentials yes
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication mechanism.
# Depending on your PAM configuration, this may bypass the setting of
# PasswordAuthentication, PermitEmptyPasswords, and
# "PermitRootLogin without-password". If you just want the PAM account and
# session checks to run without PAM authentication, then enable this but set
# ChallengeResponseAuthentication=no
#UsePAM no
UsePAM yes
#AllowTcpForwarding yes
#GatewayPorts no
#X11Forwarding no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression yes
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS yes
#PidFile /var/run/sshd.pid
#MaxStartups 10
#ShowPatchLevel no
# no default banner path
#Banner /some/path
# override default of no subsystems
Subsystem sftp /usr/libexec/openssh/sftp-server
AllowUsers root
AllowUsers admin
AllowUsers danila
Возьмите KVM проверьте логи так гораздо проще будет выяснить в чем дело.
Cам sshd написан на C поэтому обновление библиотек C++ не должно было на нем отразится и конфиг у вас верный надо стрэйсить и проверять логи. Так же сделайте откат к старой libstdc++
Сейчас мыслей по этому поводу 2:
Либо проблема с кодированием/ шифрованием. (здесь вопрос в том как нужно изменить конфиг, чтобы отключить шифрование - дабы проверить эту версию)
Или проблема с firewall`ом (когда сам ssh обращется еще к чему-то на сервере). Вариант менее вероятный - тут вопрос к чему он такому может обращаться, что у фтп проблем не возникает, а у ssh возникает (конфиг файрвола не менялся).
KVM - это уже крайний случай. Пока надеюсь обойтись без поездки в датацентр. Если уж ехать, то с уверенность что именно надо делать.
Помогите, плиз временно отключить шифрование - может в нем дело?
я не совсем понял о каком шифровании идет речь?
вариант про фаервол сразу можете отсечь - это не он. вы в логи посмотрите что там видно это самый простой вариант, проблем может быть много от сброшенных паролей и битого passwd до проблем опенсслем и шелом.
А KVM как раз затем и нужен чтобы в дц не бегать
Проблему решили. Дело было в конфиге, как ни странно.
Переписал конфиг с нуля и все заработало.
А вот по поводу KVM объясните поподробнее что это такое, пожалуйста.
Посмотрел в википедии - создалось впечатление, что это девайс для подключения одного моника, клавы и т.д к нескольким машинам с возможностью переключения, но как это может работать дистанционно - не понятно ;(
Действительно странно так как ваш конфиг я загружал на свой сервер и проблем не заметил ... если это вам сказали то по всей видимости слукавили, а если это сделали вы то это из разряда шаманства :)
Девайс действительно подключается к серверу(ам) вместо клавиатуры монитора и мышки далее в этот девайс забивают ip адресса так что доступ к нему можно получить через интернет и в зависимости от производителя квма вы загружаете на свой компьютер софтину или используя бразуер подключаетесь к ip квма который в свою очередь будет транслировать видеосигнал с agp порта и принимать ввод с вашей клавиатуры и мышки передавая его в ps2. Смысл в том что вы получаете удаленный доступ к серверу даже если там нет ssh или даже при отсутствии операционной системы вы легко сможете настроить биос и т.д. Невероятно удобная штуковина в общем :)
Действительно странно так как ваш конфиг я загружал на свой сервер и проблем не заметил ... если это вам сказали то по всей видимости слукавили, а если это сделали вы то это из разряда шаманства :)
Девайс действительно подключается к серверу(ам) вместо клавиатуры монитора и мышки далее в этот девайс забивают ip адресса так что доступ к нему можно получить через интернет и в зависимости от производителя квма вы загружаете на свой компьютер софтину или используя бразуер подключаетесь к ip квма который в свою очередь будет транслировать видеосигнал с agp порта и принимать ввод с вашей клавиатуры и мышки передавая его в ps2. Смысл в том что вы получаете удаленный доступ к серверу даже если там нет ssh или даже при отсутствии операционной системы вы легко сможете настроить биос и т.д. Невероятно удобная штуковина в общем :)
Заливал сам. Больше ничего не трогал даже. Сам был очень удивлен.
По поводу квм - спасибо за разъяснение - действительно ОЧЕНЬ удобная вещь.
СПАСИБО!
По квм - обычный датацентр не будет против установки такой железки? Ведь у них даже поставить ее некуда будет? или она тоже ставится в стойку (а в этом случае, видимо, придется за нее отдельно платить как за отдельный сервер в стойке)?
Сегодня почти все дц предоставляют квм в пользование то есть подключают его по первому требованию и вы оплачиваете почасовою/посуточною работу с ним. Если в вашем дц его нет попробуйте как раз на этом и сыграть мол у других есть а у вас нет, перееду к ним если мы как-то этот вопрос не решим с вами. На счет размеров - это уже от производителя зависит, но большинство одноюнитовые и легко монтируются в стойку.
Сегодня почти все дц предоставляют квм в пользование то есть подключают его по первому требованию и вы оплачиваете почасовою/посуточною работу с ним.
СПАСИБО!
Пойду узнавать ;)
KVM здесь поможет только при single-user загрузке. Кстати, стоит это удовольствие около $25/час.
Судя по клинической картине, вам удалось включить kerberos или какую-то подобную систему, не прописав юзеров в ее базе.
А что мешает бул-лоадеру сказать, чтобы грузился в ранлевел 1? Ведь квм, как я понимаю, не зависит от поддержки сети в ядре?