Re: SSH bricht ab

To: debian-user-german@lists.debian.org
Subject: Re: SSH bricht ab
From: Andreas Pakulat <apaku@gmx.de>
Date: Fri, 10 Mar 2006 00:43:48 +0100
Message-id: <[🔎] 20060309234348.GA9247@morpheus.apaku.dnsalias.org>
In-reply-to: <[🔎] e8980ecef7a0a6044137e10401f98e6c@hfk-bremen.de>
References: <[🔎] 4ab208bab7643af7555b53720902a827@hfk-bremen.de> <[🔎] 20060309185156.GA7967@morpheus.apaku.dnsalias.org> <[🔎] 217114cff1e463f489a27b7bf353ba4d@hfk-bremen.de> <[🔎] 20060309220828.GA21182@morpheus.apaku.dnsalias.org> <[🔎] e8980ecef7a0a6044137e10401f98e6c@hfk-bremen.de>

On 09.03.06 23:56:44, lars wrote:
> >>- ursprünglich war unstable die quelle (beim installieren)
> >
> >Nimms mir nicht uebel, aber unstable auf einem oeffentlich erreichbaren
> >Server zu fahren ist grob fahrlaessig, IMHO.
> 
> bisher bin ich gut damit gefahren.

Glueck gehabt?

> stable ist nach meiner erfahrung in diversen bereichen nicht ausreichend für 
> bestimmte aufgaben;

Hmm, da merkt man wieder das ich keine Serverfarm unter meinen Fittichen
habe... Mir ist noch nichts aufgefallen wo ich auf nem Server unbedingt
Unstable brauchte. Selbst auf meinem Laptop (aka Arbeitsstation) koennte
ich vmtl. mir stable leben (gibt hier eigentlich nicht viel wo ich
wirklich unbedingt the latest breakage brauche)

> dann musste ich doch wieder auf pakete aus unstable gehen 
> und habe mir probleme mit den unterschiedlichen abhängigkeiten eingehandelt.

Dafuer gibts bpo.

> die kombination "sarge mit paketen aus unstable" läuft bei mir seit sarge 
> veröffentlicht wurde auf bestimmt einem dutzend servern, nicht nur zum testen, 

Na hoffen wir mal fuer dich, das nicht irgendwann mal ein Update die
Daten shredderd. Davon abgesehen waere mir der Aufwand zu gross bei
einem Dutzend Servern aufzupassen welche Pakete ich aktualisieren kann
und welche nicht.

Mit "Snapshots" ists genau so ein Problem: Dann musst du dich staendig
auf dem laufenden halten welche Server Sicherheitsupdates brauchen, da
braucht dann die gefixte Version noch dieses und jenes an Updates wo du
auch wieder schauen darfst...

> und bisher ist mir recht zufriedenstellend (ausnahmen nerven, bestätigen aber 
> die regel und treten nicht mehr oder weniger häufig auf als bei woody z.b.)

Vllt. bin ich ja wirklich zu naiv, aber ich halte den produktiven
Einsatz von unstable fuer russisches Roulette.

> >Weiterhin erklaert es wo dein Problem ist: In unstable ist "ssh" ein
> >Pseudo-Paket, beim apt-get purge ssh passiert gar nichts weiter (ausser
> >das das Paket aus der Liste der installierten Pakete entfernt wird).
> >openssh-server und openssh-client sind die Pakete die du purgen kannst
> >um die Konfig in /etc loszuwerden.
> 
> ok, das wusste ich nicht. danke für die info!

Das solltest du gewusst haben, nicht nur das es in den Changelogs stand.
Irgendwann sollte dir bei einem upgrade aufgefallen sein dass da 2 neue
Pakete installiert werden. 

> >>- dann habe ich _testweise_ mal das ssh aus testing re-installiert, aber dann
> >>gab es keine konfigs mehr in /etc/ssh/.
> >
> >Die Konfigs hast du selbst geloescht. Das Paket ssh enthaelt keine
> >Konfigs.
> 
> das ursprünglich durchgeführte
> 
> apt-get install ssh
> 
> auf einem sargesystem mit unstable-sources installiert diese aber; und i.d.r. 
> läuft der kram damit - siehe oben.

Ein sarge-System mit unstable-sources.list ist ein Unstable System.

Eventuell hast du ssh installiert als es noch nicht gesplittet war.
Nichtsdestotrotz ist das mittlerweile anders und die Tatsache das die
Konfigs beim purge nicht geloescht wurden ein sehr deutliches Indiz dass
du die neue gesplittete Version auch hast. Demzufolge ist es ganz normal
dass jetzt ein apt-get install ssh keinerlei Konfigs installiert, da das
nur ein Pseudopaket ist, welches auf das -server und -client Paket
depended. Die beiden wurden aber nicht gepurged, sondern du hast ihnen
ihre Configs unter Hintern weggezogen.

> >Dann wars evtl. deine sshd_config. Was wir nicht mehr nachpruefen
> >koennen.
> 
> doch - ich habe  nur das verzeichnis gelöscht, aber die konfig gesichert.
> 
> allerdings entspricht die sshd_konfig einer default installation mit drei 
> änderungen:
> 
> Port 2222
> AuthorizedKeysFile      %h/.ssh/authorized_keys2
> Banner /etc/issue.net
> 
> und dieselbe konfig läuft auf allen anderen rechern in unserem netz.

Aha, nun, hat der User denn auch eine entsprechende Datei (wozu
ueberhaupt ein derartig merkwuerdiger Name?) Und ist dort der passende
Public-Key eingetragen?

> >>ich sag ja: testweise ...
> >
> >Unstable ist besser? Ich glaube kaum.
> 
> für mich: es _kann_ mehr.

Unstable kann mehr? Naja, ja unstable kann mehr kaputt gehen.

Was genau brauchst du denn aus dem unstable-sshd das im stable-sshd
nicht vorhanden ist? 

> >Hmm, ich hab hier nur 3 private IP's (192.168.X.Y) und mein sshd hat
> >bisher keine Probleme gemacht.
> 
> dieses problem hatte ich bisher so auch noch nicht.
> 
> da ich ausser einer re-installation nichts an dem setting geändert habe, 
> bleibt nur ein fehler in einer der vielen zu ssh(d) gehörigen dateien.
> 
> grobe unstimmigkeiten in der sshd_config sollte der sshd beim starten 
> bemängeln.

Ja, Konfigurationsoptionen die er nicht kennt. Mehr nicht. Wenn aber
z.B. der Pub-Key in der Authorized-keys fehlt merkst du das daran dass
die pubkey-auth fehlschlaegt.

> >>apt-get update gemacht.
> >
> >Ja wass denn nun? Updates gemacht oder nicht? apt-get update
> >aktualisiert nur die Paketliste.
> 
> apt-get update ohne ein anschliessendes apt-get upgrade íst für mich nur 
> begrenzt sinnvoll; also: natürlich apt-get update && apt-get upgrade

Naja, mein root-server macht eigentlich nur ein apt-get update und sagt
mir dann obs was neues gibt (zugegeben, dazu macht er noch ein apt-get
upgrade -s)

> >Wieso ssh aus unstable?
> 
> weil ich base-config bzw. tasksel immer sage, dass ich die pakete aus unstable 
> haben möchte.

Wieso? Du hast immernoch keinen zwingenden Grund geliefert. Weils neuer
ist bzw. weil die Pakete manchmal mehr Features haben ist kein Grund,
jedenfalls nicht wenn die Server zuverlaessig laufen sollen.

> >>mit derselben cd und denselben apt-quellen habe ich vor ein paar tagen 
> >>besagtes
> >>system aufgesetzt und ebenfalls lediglich den sshd-port geändert. heute habe
> >>ich den zugang über die zweite NIC versucht (und nix an der sshd_config
> >>geändert) - und konnte zwar auf den port zugreifen (der gedebugte sshd hat 
> >>ja
> >>fleissig was gemeldet), aber bekam diese meldungen, mit denen ich nicht so
> >>recht was anfangen konnte.
> >
> >Dann solltest du keine sshd's administrieren.
> 
> danke; also wirst du mir sicher die bedeutung dieser fehlermeldungen erklären 
> können ;-)

Hast du das jetzt weggeschnippelt oder komtm das weiter unten?

> >Ich verstehe immernoch
> >nicht warum du den sshd aus unstable brauchst.
> 
> es geht nicht um unstable des sshd wegen; s.o.

Ich verstehe die Gruende immernoch nicht. Ich wuerde lieber die Handvoll
Pakete die unbedingt aus unstable kommen muessen backporten als alles
auf unstable umzustellen.

> >Du machst die Tests aber nicht rein zufaellig aus demselben Netz in dem
> >der Server steht oder? Das kann nicht funktionieren, jedenfalls nicht
> >ohne wilde Verrenkungen aufm Router.
> 
> da kann ich jetzt nicht folgen; dem sshd sollte es ziemlich egal sein, von wo 
> der aufruf erfolgt - oder meinst du, dass der server nicht weiss, wohin er die 
> antworten schicken soll...?

Jupp, Szenario ist folgendes:

client ---------------|
                      +- Router (mit NAT und Portforwarding)
sshd   ---------------|

Und du versuchst es vom client mit der oeffentlichen IP die vom Router
an den sshd geforwardet werden sollte so funktioniert das nicht ohne
fiese NAT-Hacks. Nein ich weiss nicht wie diese Hacks aussehen, das
wurde mir hier so "praesentiert" inkl. URL wo ich es haette nachlesen
koennen. Ich kenne aber das Phaenomen.

Sollte dein Server mit seiner oeffentlichen IP direkt im I-Net haengen
und der Router hinter dem der Client sitzt eine andere oeffentliche IP
haben, sollte das ganze kein Problem darstellen.

> die tests sind jetzt ja auch erfolgreich, nachdem ich ssh nicht mehr über das 
> initskript starte - so what?!

Wenn das tatsaechlich die Ursache sein sollte waere das _sehr_
merkwuerdig. Und wenn dein init-Skript jetzt nicht mehr funktioniert ist
das umso bedenklicher. Das ist IMHO ein kaputter sshd der repariert
gehoert.

> >Ja. Es waere schon sehr merkwuerdig das das bei etlichen anderen Usern
> >funktioniert und bei dir nicht, weil was am sshd kaputt ist.
> 
> ich habe auffällig oft probleme mit sshd auf linuxsystemen;

Hmm, vllt. liegt das daran dass du unstable benutzt?

> ok, stress mit ssh habe ich vielleicht alle halbe jahre mal 8so wie jetzt), 
> aber wenn meine kaffeemaschine dermassen unzuverlässig liefe, würde ich sie 
> reklamieren.

Eine Kaffemaschine ist ein _sehr_ schlechter Vergleich. In dem Ding
steckt weit weniger Technik oder Software. Selbst ein Mercedes oder Audi
ist nicht unbedingt vergleichbar mit einem PC, weil dort Hard und
Software _exakt_ aufeinander abgestimmt sind. Und ein Mercedes hat i.A.
eine laengere Lebenserwartung als ein PC.

> >Eher ist
> >dein Setup nicht in Ordnung. Da du uns weder deine Konfig
> 
> s.o.; im anhang die gesamte sshd-config

Ich hoffe um # und Leerzeilen gekuerzt.. 

> >Mein root-Server laeuft jetzt
> >71 Tage durch,
> 
> süss.
> 
> meine uptimes sind in der regel bei 300 tagen;

Naja, der Server wurde auch erst vor 71 Tagen von mir gedebootstrappt.

> mit den neueren debian sarges 
> habe ich allerdings gleich mehrfach server neu starten müssen.

Irgendwas machst du falsch :-) 

> und in letzter zeit häufen sich die probleme mit linux, was darauf schliessen 
> lässt, dass a) ich immer dümmer werde,

Mit zunehmendem Alter auf jeden Fall ;-) Wobei ich eher vergesslich
sagen wuerde und ausserdem soll das beim normalen Humanoiden nicht
innerhalb von Tagen passieren, sondern Jahre andauern. Hab ich mir sagen
lassen ;-)

> b) immer unachtsamer ob meines alters 
> oder c) die systeme immer anfälliger.

Ich hab wie gesagt genau 1 oeffentlichen Server und 1 privaten Router (+
Laptop zum Arbeiten) und mir ist nichts dergleichen aufgefallen. Auch
auf der d-u-g liest man von solchen Schwierigkeiten wenig, kann
natuerlich auch einfach bedeuten dass die anderen Admins mit diesen
Schwierigkeiten selbst fertig werden ;-P

> # Package generated configuration file

Also doch die Kommentare drin :-(

> AuthorizedKeysFile      %h/.ssh/authorized_keys2

Warum auch immer da ne 2 hinter muss...

> AcceptEnv LANG LC_*

Das ist kein Default. Hast also geschwindelt ;-) Nein ich glaube auch
nicht das deine Probleme daher ruehren...

Wie gesagt, ich wuerde mir schon Sorgen machen wenn der sshd nicht ueber
init.d starten mag und dem auf den Grund gehen (evtl. mit einem apt-get
remove --purge openssh-server). 

Rein prinzipiell haette mich auch das client-log von der nicht
funktionierenden Login-Geschichte interessiert, aber das ist ja wohl nun
Geschichte...

Andreas

-- 
You are taking yourself far too seriously.

Reply to:

References:
- SSH bricht ab
  - From: lars <lars@hfk-bremen.de>
- Re: SSH bricht ab
  - From: Andreas Pakulat <apaku@gmx.de>
- Re: SSH bricht ab
  - From: lars <lars@hfk-bremen.de>
- Re: SSH bricht ab
  - From: Andreas Pakulat <apaku@gmx.de>
- Re: SSH bricht ab
  - From: lars <lars@hfk-bremen.de>

Prev by Date: Re: Probleme, Linux zum DSL Router umzuwandeln (gelöst)
Next by Date: Re: Verpartitioniert
Previous by thread: Re: SSH bricht ab
Next by thread: Konsole und Änderung der Gruppenmitgliedschaft
Index(es):
- Date
- Thread