Hallo,

ich habe derzeit folgendes Problem beim Versuch eine Verbindung via ssh zu einem entfernten Host herzustellen.

Die Verbindung als user cuba (normaler Benutzer, keine bestimmten Rechte ausser auf sein Verzeichnis etc) nach aussen zum entfernten Host funktioniert einwandfrei.


[havanna:/home/cuba] ssh -v server
SSH Version Sun_SSH_1.0, protocol versions 1.5/2.0.
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Rhosts Authentication disabled, originating port will not be trusted.
debug1: ssh_connect: getuid 1100 geteuid 1100 anon 1
debug1: Connecting to server [xxx.xxx.xxx.xxx] port 22.
debug1: Connection established.
debug1: identity file /home/cuba/.ssh/identity type 3
debug1: identity file /home/cuba/.ssh/id_rsa type 3
debug1: identity file /home/cuba/.ssh/id_dsa type 3
debug1: Remote protocol version 2.0, remote software version OpenSSH_3.6p1
debug1: match: OpenSSH_3.6p1 pat ^OpenSSH
Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-Sun_SSH_1.0
debug1: sent kexinit: diffie-hellman-group1-sha1
debug1: sent kexinit: ssh-rsa,ssh-dss
debug1: sent kexinit: aes128-cbc,blowfish-cbc,3des-cbc,rijndael128-cbc
debug1: sent kexinit: aes128-cbc,blowfish-cbc,3des-cbc,rijndael128-cbc
debug1: sent kexinit: hmac-sha1,hmac-md5
debug1: sent kexinit: hmac-sha1,hmac-md5
debug1: sent kexinit: none
debug1: sent kexinit: none
debug1: sent kexinit:
debug1: sent kexinit:
debug1: send KEXINIT
debug1: done
debug1: wait KEXINIT
debug1: got kexinit: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug1: got kexinit: ssh-dss
debug1: got kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se
debug1: got kexinit: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se
debug1: got kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug1: got kexinit: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug1: got kexinit: none,zlib
debug1: got kexinit: none,zlib
debug1: got kexinit:
debug1: got kexinit:
debug1: first kex follow: 0
debug1: reserved: 0
debug1: done
debug1: kex: server->client unable to decide common locale
debug1: kex: server->client aes128-cbc hmac-sha1 none
debug1: kex: client->server unable to decide common locale
debug1: kex: client->server aes128-cbc hmac-sha1 none
debug1: Sending SSH2_MSG_KEXDH_INIT.
debug1: bits set: 526/1024
debug1: Wait SSH2_MSG_KEXDH_REPLY.
debug1: Got SSH2_MSG_KEXDH_REPLY.
debug1: Host 'server' is known and matches the DSA host key.
debug1: Found key in /home/cuba/.ssh/known_hosts:4
debug1: bits set: 527/1024
debug1: len 55 datafellows 0
debug1: ssh_dss_verify: signature correct
debug1: Wait SSH2_MSG_NEWKEYS.
debug1: GOT SSH2_MSG_NEWKEYS.
debug1: send SSH2_MSG_NEWKEYS.
debug1: done: send SSH2_MSG_NEWKEYS.
debug1: done: KEX2.
debug1: send SSH2_MSG_SERVICE_REQUEST
debug1: service_accept: ssh-userauth
debug1: got SSH2_MSG_SERVICE_ACCEPT
debug1: authentications that can continue: publickey,password,keyboard-interactive
debug1: next auth method to try is publickey
debug1: key does not exist: /home/cuba/.ssh/identity
debug1: key does not exist: /home/cuba/.ssh/id_rsa
debug1: key does not exist: /home/cuba/.ssh/id_dsa
debug1: next auth method to try is password
cuba@server's password:


Wenn ich nun das gleiche (also Verbindungsaufbau zum gleichen Server) als User root versuche kann die Verbindung nicht aufgebaut werden.

ssh -v server meldet folgendes


havanna: / (1) % ssh -v server
SSH Version Sun_SSH_1.0, protocol versions 1.5/2.0.
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: ssh_connect: getuid 0 geteuid 0 anon 0
debug1: Connecting to server [xxx.xxx.xxx.xxx] port 22.
debug1: Allocated local port 922.
debug1: connect: Connection timed out
debug1: Trying again ....


Die ssh_config sieht wie folgt aus:

# Copyright (c) 2001 by Sun Microsystems, Inc.
# All rights reserved.
#
# ident "@(#)ssh_config 1.2 01/10/08 SMI"
#
# This file provides defaults for ssh(1).
# The values can be changed in per-user configuration files $HOME/.ssh/config
# or on the command line of ssh(1).

# Configuration data is parsed as follows:
# 1. command line options
# 2. user-specific file
# 3. system-wide file /etc/ssh/ssh_config
#
# Any configuration value is only changed the first time it is set.
# host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Example (matches compiled in defaults):
#
# Host *
# ForwardAgent no
# ForwardX11 no
# PubkeyAuthentication yes
# PasswordAuthentication yes
# FallBackToRsh no
# UseRsh no
# BatchMode no
# CheckHostIP yes
# StrictHostKeyChecking ask
# EscapeChar ~



Das merkwürdige daran ist das ich als Benutzer root eine Verbindung zu einem im LAN befindlichen Server aufbauen kann. Allein der Zugriff auf den externen Server (im Internet) ist nicht möglich. Einen Content Filter oder ähnliches gibt es in der Firewall nicht.

Der root - Login auf dem externen Server wird verweigert allerdings sollte er dann zumindest bis zum Login kommen. (So ist es zumindest auf anderen Maschinen mit der gleichen ssh Version)

Betriebssystem ist Solaris9 (mir ist bewusst das ich mich in einem Linux Forum befinde ... da es sich um SSH handelt dachte ich das es ggf auch in diesem Forum passt)
SSH Version ist OpenSSH_3.6p1

Danke im voraus für Eure Antworten
alex

Der root - Login auf dem externen Server wird verweigert


Sehr schoen -Dann ist die Kiste richtig konfiguriert.

Wie mein Vorposter schon sagte, ist es so schon gut. Am besten meldest du dich immer als normaler User an und machst dich dann mit "su" zum Superuser.

hi,

der vollständigkeit halber sollte noch erwähnt werden, dass hierfür ist der Parameter

PermitRootLogin [yes/no]

im file [/etc/ssh/sshd_config] zuständig ist.

mehr infos: man sshd_config

lg

Ich glaube Ihr versteht mich nicht richtig!

Die Verbindung muss als Benutzer root aufgebaut werden können da ich bestimmte Dienste über ssh tunneln möchte! (Ports tunneln darf eben nur root) Auf dem System (externer Server) wird ein anderer User verwendet, login funktioniert hier über einen vorher generierten und in authorized_keys2 eingetragenen schlüssel.

Das Problem ist ja schon der Aufbau der Verbindung selbst! Die Verbindung bis zu diesem Server ist gar nicht möglich! (Das man sch nciht als User root am externen Server anmelden kann ist natürlich gewollt ... aber bis zum Loginprompt müsste es die Maschine schon schaffen ...)

Ich glaube Ihr versteht mich nicht richtig!


Ich glaube, du liest nicht richtig, z.B. den Beitrag vor deinem letzten Beitrag.

lesen, denken, verstehen ;)

Ich glaube, du liest nicht richtig, z.B. den Beitrag vor deinem letzten Beitrag.
lesen, denken, verstehen ;)

Ich danke dir für deine Antwort, doch würde ich dich bitten deine Ratschläge selbst zu befolgen! ;-)


Um es zu wiederholen.

Es geht nicht darum das der User root sich am Fremdsystem anmelden darf (das würde auf den genannten Eintrag in sshd_config schliessen). Nein es geht vielmehr um den Aufbau der allgemeinem Verbindung! (was wohl eher ein Fall für die ssh_config wäre ... die habe ich weiter oben bereits gepostet)

Ein "ssh user@server" (wobei user != root, als Benutzer root ausgeführt) ist auch nicht möglich da ssh scheinbar keine Verbindung nach aussen aufbauen kann.

Was sagt er denn, "Connection refused"?

Vielleicht spielt dir der tcpwrapper einen Streich? (check mal die Dateien hosts.deny und hosts.allow in /etc)