serwer ssh: przyczyny nagłego „połączenia zamkniętego przez zdalny host”

13

Jeden z moich serwerów ec2 przestał odbierać połączenia ssh. System operacyjny to Ubuntu server 8.04, a serwer ssh jest standardem openssh-server.

Po miesiącach przestoju próbowałem się z nim dzisiaj połączyć i otrzymałem następujący komunikat:

ssh_exchange_identification: Connection closed by remote host

Masz pojęcie, co mogło pójść nie tak?

Aktualizacja: po ponownym uruchomieniu serwer zaczął otrzymywać nowe połączenia. Dyski mają zużycie poniżej 50%.

Adam Matan
źródło
1
Pierwszą rzeczą do zrobienia, gdy to zobaczysz: spróbuj ponownie za pomocą ssh -vvvi uważnie przejrzyj dane wyjściowe (lub opublikuj wszystko, aby ktoś mógł to przeanalizować; twoje hasło nie pojawi się, ale adresy IP i nazwy użytkowników będą).
Gilles „SO- przestań być zły”,

Odpowiedzi:

12

Teraz, gdy znów masz dostęp, sprawdź dziennik, aby ustalić, jakie są ewentualne wskazówki, dlaczego zostałeś zablokowany.

tail -n300 /var/log/auth.log | grep ssh 1

Inną rzeczą do zapamiętania jest to, że jeśli to się powtórzy, możesz uruchomić sshw trybie pełnym z -vvvopcją, która zwróci bardziej szczegółowe informacje diagnostyczne. Od man ssh:

-v Tryb pełny . Powoduje, że ssh drukuje komunikaty debugujące dotyczące jego postępu. Jest to pomocne w debugowaniu problemów z połączeniem, uwierzytelnianiem i konfiguracją. Wiele opcji -v zwiększa gadatliwość. Maksymalna to 3.



[1] Może być konieczne zwiększenie / zmniejszenie kwoty ogona o ( -n), aby zidentyfikować odpowiednie wpisy.

jasonwryan
źródło
2

Mało prawdopodobna jest nieudana automatyczna aktualizacja pakietu.

Prawdopodobna jest awaria sprzętu, awaria oprogramowania (wyciek zasobów jądra), tymczasowa awaria routingu lub nieudana próba włamania.

Zakładam, że baza danych zarządzanych lokalnie użytkowników dla EC2.

Steve-o
źródło
2

Może to być spowodowane przesunięciem w czasie. Upewnij się, że wszystkie maszyny otrzymują czas z internetowego serwera czasu.

Šimon Tóth
źródło
2

Czy używasz jakiegoś automatycznego blokowania? Nie denyhostszainstalowałem się, co zablokuje adres IP po kilku nieudanych próbach logowania i kilka razy zablokowałem się w ten sposób.

Piskvor opuścił budynek
źródło
1

Jest to normalna sytuacja, gdy wielu klientów próbuje uwierzytelnić się w tym samym czasie. Jest to konfigurowane przez opcję MaxStartups w / etc / ssh / sshd_config.

Jeśli MaxStartups = 3, a 4 klientów spróbuje się połączyć, ostatni klient wyświetli twoją wiadomość, jest odrzucana przez serwer z powodu zbyt wielu uwierzytelnień oczekujących po stronie serwera.

sshd zachowuje się tak, aby zapobiec atakowi z użyciem siły.

użytkownik368507
źródło