SSH-Server: Gründe für plötzliche "Verbindung vom Remote-Host geschlossen"

13

Einer meiner ec2-Server empfängt keine SSH-Verbindungen mehr. Das Betriebssystem ist Ubuntu Server 8.04 und der SSH-Server ist der Standard openssh-server.

Nach Monaten der Betriebszeit habe ich heute versucht, eine Verbindung herzustellen, und die folgende Meldung erhalten:

ssh_exchange_identification: Connection closed by remote host

Irgendeine Idee, was schief gegangen sein könnte?

Update: Nach einem Neustart erhielt der Server neue Verbindungen. Festplatten sind zu weniger als 50% ausgelastet.

openssh Adam Matan
quelle
1
Das erste, was Sie tun müssen, wenn Sie dies sehen: Versuchen Sie es erneut mit ssh -vvvund sehen Sie sich die Ausgabe genau an (oder veröffentlichen Sie alles, damit andere es analysieren können; Ihr Passwort wird nicht angezeigt, IP-Adressen und Benutzernamen jedoch).
Gilles 'SO - hör auf böse zu sein'

Antworten:

12

Nachdem Sie wieder Zugriff haben, überprüfen Sie das Protokoll, um festzustellen, ob gegebenenfalls Hinweise darauf vorliegen, warum Sie blockiert wurden.

tail -n300 /var/log/auth.log | grep ssh 1

Die andere Sache, an die Sie sich erinnern sollten, ist, dass Sie, wenn es erneut passiert, sshim ausführlichen Modus mit der -vvvOption ausgeführt werden können, die detailliertere Diagnoseinformationen zurückgibt. Von man ssh:

-v Ausführlicher Modus . Bewirkt, dass ssh Debugging-Meldungen über den Fortschritt druckt. Dies ist hilfreich beim Debuggen von Verbindungs-, Authentifizierungs- und Konfigurationsproblemen. Mehrere -v-Optionen erhöhen die Ausführlichkeit. Das Maximum ist 3.



[1] Möglicherweise müssen Sie den Betrag, den Sie einstellen, um ( -n) erhöhen / verringern , um die relevanten Einträge zu identifizieren.

Jasonwryan
quelle
2

Unwahrscheinlich ist eine fehlgeschlagene automatische Paketaktualisierung.

Wahrscheinlich ist ein Hardwarefehler, ein Softwarefehler (Kernelressourcenleck), ein vorübergehender Routingfehler oder ein fehlgeschlagener Hacking-Versuch aufgetreten.

Ich gehe von einer lokal verwalteten Benutzerdatenbank für EC2 aus.

Steve-o
quelle
2

Dies kann durch Zeitversatz verursacht werden. Stellen Sie sicher, dass alle Computer Zeit von einem Internet-Zeitserver erhalten.

Lass mich sein
quelle
2

Verwenden Sie eine Art automatisches Blockieren? Ich habe nicht denyhostsinstalliert, wodurch die IP-Adresse nach mehreren fehlgeschlagenen Anmeldeversuchen blockiert wird, und ich habe mich einige Male so gesperrt.

Piskvor verließ das Gebäude
quelle
1

Dies ist eine normale Situation, wenn mehrere Clients gleichzeitig versuchen, sich zu authentifizieren. Dies wird durch die Option MaxStartups in / etc / ssh / sshd_config konfiguriert.

Wenn MaxStartups = 3 und 4 Clients versuchen, eine Verbindung herzustellen, zeigt der letzte Client Ihre Nachricht an. Sie wird vom Server abgelehnt, da auf der Serverseite zu viele Authentifizierungen anstehen.

sshd verhält sich so, um Bruteforce-Angriffe zu verhindern.

user368507
quelle