Re: problemas con server sftp

To: angeld <angeld@froga.net>
Cc: Lista Debian-user-spanish <debian-user-spanish@lists.debian.org>
Subject: Re: problemas con server sftp
From: deconya <elmailpersonal@gmail.com>
Date: Fri, 5 Nov 2010 12:43:25 +0100
Message-id: <[🔎] AANLkTimgM9n1oUK170WjrJNmLi3PhfWiEROGHcqY8s5k@mail.gmail.com>
In-reply-to: <alpine.DEB.2.00.1010252345130.30071@x32>
References: <AANLkTinEa-tZS3mj5mstB-P=Z9M1c8+wu66un-8LD85A@mail.gmail.com> <cc3f8163fb03f5b600b657d7a5f3cad6.squirrel@froga.net> <AANLkTimuS7X4gDEqMwJzePbWhoCpFbNqDjHYfb2G9e8A@mail.gmail.com> <alpine.DEB.2.00.1010252345130.30071@x32>

Buenas

Siguiendo con el hilo estoy descubriendo que puede estar pasando, pero
como nunca me encontre con el problema no se donde puede estar el
fallo.

Segun pude comprobar no era problema del ldap sino de algo que hace de
firewall en la maquina, bloqueando el puerto ssh. Resulta que despues
de chequear el firewall comprobe que estaba bien, y comence a hacer
pruebas, ya que tengo otro server web que si acepta el ssh.

Bien pues resulta que unicamente acepta conexiones ssh desde Ip
interna y desde una Ip externa en concreto. Estuve buscando como es
posible esto pero no encuentro nada que bloquee las conexiones.
Comprobe ya los iptables pero no veo como saber que reacciona ante el
intento de intrusion.

El server web esta online asi que no hay problemas de consulta desde internet.

Que pruebas se os ocurren para saber que esta fallando?

Gracias

El día 26 de octubre de 2010 00:02, angeld <angeld@froga.net> escribió:
> Mon, 25 Oct 2010, deconya:
>
>> El día 25 de octubre de 2010 16:20, AngelD <angeld@froga.net> escribió:
>>>>
>>>> Estoy teniendo problemas con un server web, desconozco que le pasa
>>>> pero dejo de funcionar, siendo solo possible conectar por ssh. Las
>>>> pruevas que hice son:
>>>>
>>>> conectar via root: al ssh conecta y al sftp. Si uso el fireftp no
>>>> funciona.
>>>
>>>   Si conecta por 'ssh' y 'sftp', ¿de quién es el problema?, ....,
>>> redoble, ...., ¡fireftp!.
>>
>> Seguro? Tengo mis dudas por eso envio a la lista, no falló solo un
>> software de conexion sino varios i el fireftp es supersimple, de ahi
>> el ejemplo.
>
>        Pero, funciona el ssh y sftp, por lo que podemos deducir que el ssh
> no falla.
>
>>>> resto de usuarios no pueden. Lo conecte con un openldap. Posteo el
>>>> config de sshd_config a ver si alguien me puede ayudar a arreglar el
>>>> misterio
>>>
>>>   ¿Cómo lo conectaste con un ldap?, ¿por medio de múdulos pam?, ¿que
>>> dicen los logs?.
>>
>> Mirando el auth.log me da esto
>>
>> Oct 25 17:22:30 serverweb sshd[18788]: reverse mapping checking
>> getaddrinfo for infolinux.esci.es.0.0.10.in-addr.arpa [10.0.0.10]
>> failed - POSSIBLE BREAK-IN ATTEMPT!
>> Oct 25 17:22:35 serverweb sshd[18788]: pam_sm_authenticate: Called
>> Oct 25 17:22:35 serverweb sshd[18788]: pam_sm_authenticate: username =
>> [root]
>> Oct 25 17:22:35 serverweb sshd[18788]: Warning: Using default salt
>> value (undefined in ~/.ecryptfsrc)
>> Oct 25 17:22:35 serverweb sshd[18790]: Error attempting to open
>> [/root/.ecryptfs/wrapped-passphrase] for reading
>> Oct 25 17:22:35 serverweb sshd[18790]: Error attempting to unwrap
>> passphrase from file [/root/.ecryptfs/wrapped-passphrase]; rc = [-5]
>> Oct 25 17:22:35 serverweb sshd[18790]: Error adding passphrase key
>> token to user session keyring; rc = [-5]
>> Oct 25 17:22:35 serverweb sshd[18788]: Accepted password for root from
>> 10.0.0.10 port 58805 ssh2
>> Oct 25 17:22:35 serverweb sshd[18788]: pam_unix(sshd:session): session
>> opened for user root by (uid=0)
>> Oct 25 17:24:27 serverweb sshd[18875]: reverse mapping checking
>> getaddrinfo for pc.domain.es.0.0.10.in-addr.arpa [10.0.0.10] failed -
>> POSSIBLE BREAK-IN ATTEMPT!
>>
>> Ahora es cuando no me entero XDD Alguien con mas batallas me puede ayudar?
>
>        Este log dice muchas cosas. Por su lado te chilla porque posiblemente
> estes intentando conectar desde una máquina cuya ip inversa no resuelve
> correctamente la inversa (esto es el POSSIBLE BREAK-IN ATTEMPT),
> posiblemente porque salgas por una interfaz que no desees desde dentro de tu
> red. Por otro lado, intenta usar un sistema de ficheros cifrado a base de
> [1]ecryptfs, y da algunos errores (¿pueden faltar las credenciales?).
> Desconozco como funciona este, así que te toca empollar la documentación del
> mismo.
>
>>>> Port 22
>>>> Protocol 2
>>>> HostKey /etc/ssh/ssh_host_rsa_key
>>>> HostKey /etc/ssh/ssh_host_dsa_key
>>>> #Privilege Separation is turned on for security
>>>> UsePrivilegeSeparation yes
>>>>
>>>> # Lifetime and size of ephemeral version 1 server key
>>>> KeyRegenerationInterval 3600
>>>> ServerKeyBits 768
>>>>
>>>> # Logging
>>>> SyslogFacility AUTH
>>>> LogLevel INFO
>>>> AuthorizedKeysFile      %h/.ssh/authorized_keys
>>>>
>>>> # Don't read the user's ~/.rhosts and ~/.shosts files
>>>> IgnoreRhosts yes
>>>> # For this to work you will also need host keys in /etc/ssh_known_hosts
>>>> RhostsRSAAuthentication no
>>>> # similar for protocol version 2
>>>> HostbasedAuthentication no
>>>> # Uncomment if you don't trust ~/.ssh/known_hosts for
>>>> RhostsRSAAuthentication
>>>> #IgnoreUserKnownHosts yes
>>>>
>>>> # To enable empty passwords, change to yes (NOT RECOMMENDED)
>>>> PermitEmptyPasswords no
>>>>
>>>> # Change to yes to enable challenge-response passwords (beware issues
>>>> with
>>>> # some PAM modules and threads)
>>>> ChallengeResponseAuthentication no
>>>>
>>>> X11Forwarding no
>>>> X11DisplayOffset 10
>>>> PrintMotd no
>>>> PrintLastLog yes
>>>> TCPKeepAlive yes
>>>> #UseLogin no
>>>>
>>>> #MaxStartups 10:30:60
>>>> #Banner /etc/issue.net
>>>>
>>>> # Allow client to pass locale environment variables
>>>> AcceptEnv LANG LC_*
>>>>
>>>> #Subsystem sftp /usr/lib/openssh/sftp-server
>>>> Subsystem sftp internal-sftp
>>>>
>>>> UsePAM yes
>>>
>>>   Aquí usas los módulos pam para autenticar, ¿que dicen los logs?.
>>
>> lo posteo arriba
>>
>>>
>>>> Match group SFTP
>>>>         ForceCommand internal-sftp
>>>>         ChrootDirectory /var/www
>>>>         AllowTcpForwarding no
>>>
>>>   Aquí haces chroot de algunos usuarios,  ¿que dicen los logs?.
>>>
>>>   Resumiendo, ¿que dicen los logs?. También exponer el problema de una
>>> manera concisa puede ayudar, porque al final no sabemos si falla el
>>> servidor web, el acceso por ssh, ambos o ninguno. Tampoco se entiende
>>> bién que tipo de instalación tienes, ¿ssh con ldap?, ¿ssh con ladp y
>>> chroot?, ...
>>
>> En principio es ssh con ldap, aunque es un server heredado sin
>> documentacion y de ahi el problema. Estuve mirando y diria que es ssh
>> +ldap +chroot, de ahi que posteo la config.
>
>        ¿Documentación?, eso es para cobardes. :-)
>
>        Si hay algo de ldap, no lo he visto en los logs, pero posiblemente el
> usuario "root" no esté configurado dentro del ldap. La configuación que te
> interesa para saber lo que hay se encuentra en '/etc/pam.d', y empezando por
> el fichero '/etc/pam.d/sshd', y continuando con todos los que haga
> referencia este (todos los @include), hasta ver lo que tienes y como
> funciona. Por el momento, y si hacemos caso a los logs y ficheros mostrados
> hay ssh + eCryptfs + chroot para algunos usuarios.
>
>> Bueno a ver si consigo resolver el misterio, gracias por vuestro tiempo.
>
>        Con lo que te he dado tienes para empezar a tirar del hilo, pero te
> va a costar un poco, porque parece que hay muchas cosas montadas, y algunas
> no son fáciles de ver/diagnosticar/solucionar. Suerte.
>
>  [1]https://launchpad.net/ecryptfs
>
> --
>        Saludos --- Angel
>

Reply to:

Follow-Ups:
- Re: problemas con server sftp
  - From: Camaleón <noelamac@gmail.com>

Prev by Date: Mostrar archivos de respaldo (~) en el escritorio (GNOME)
Next by Date: Re: problemas con server sftp
Previous by thread: Re: Mostrar archivos de respaldo (~) en el escritorio (GNOME)
Next by thread: Re: problemas con server sftp
Index(es):
- Date
- Thread