|
|
 | SSH server kan ikke finde ud af client ip ~
Fra : Mads |
Dato : 05-11-05 14:01 |
|
Hej
Jeg har en Debian Sarge server som opfører sig underligt.
Når jeg logger ind på den via SSH skriver den i log'en at min IP
addresse er lig serverens IP adresse, og ikke min klients IP adresse.
Jeg kan se at problemet er opstået omkring d. 1. november.
Derudover får jeg nogle:
Nov 5 13:58:54 tandrup03 sshd[14434]: Address <serverip> maps to
<servernavn>, but this does not map back to the address - POSSIBLE
BREAKIN ATTEMPT!
i auth.log.
Hvad kan det skyldes? Og hvordan får jeg det rettet?
Venlig hilsen
Mads
| |
 Sune Vuorela (05-11-2005)
| Kommentar
Fra : Sune Vuorela |
Dato : 05-11-05 14:07 |
|
On 2005-11-05, Mads <mads@iname.com> wrote:
> Hvad kan det skyldes? Og hvordan får jeg det rettet?
at lookup på ip(reversedns) ikke giver reversedns.
/Sune
| |
Mads (05-11-2005)
| Kommentar
Fra : Mads |
Dato : 05-11-05 14:16 |
|
Sune Vuorela wrote:
> On 2005-11-05, Mads <mads@iname.com> wrote:
>
>>Hvad kan det skyldes? Og hvordan får jeg det rettet?
>
>
> at lookup på ip(reversedns) ikke giver reversedns.
>
Ja det kan jeg jo godt læse.
Men det var nu mere hvad mit problem skyldes?
Derudover er reversedns på min server selvfølgelig også sat korrekt op.
Så fejlen burde slet ikke opstå.
Hilsen
Mads
| |
 Sune Vuorela (05-11-2005)
| Kommentar
Fra : Sune Vuorela |
Dato : 05-11-05 14:25 |
|
On 2005-11-05, Mads <mads@iname.com> wrote:
>> at lookup på ip(reversedns) ikke giver reversedns.
>>
> Ja det kan jeg jo godt læse.
> Men det var nu mere hvad mit problem skyldes?
Det er ssh der tjekker det. Der forbindes fra 10.0.0.10 ssh slår op og
ser at rdns er server.localdomain - derefter laves der dns-opslag på
server.localdomain og hvis det ikke er 10.0.0.10, så kommer der sådan en
linje i loggen.
Du kan også løse problemet på serveren ved at skrive
10.0.0.10 server.localdomain
i /etc/hosts da det er her ting først slås op.
/Sune
| |
Mads (06-11-2005)
| Kommentar
Fra : Mads |
Dato : 06-11-05 09:58 |
|
Sune Vuorela wrote:
> On 2005-11-05, Mads <mads@iname.com> wrote:
>
>>>at lookup på ip(reversedns) ikke giver reversedns.
>>>
>>
>>Ja det kan jeg jo godt læse.
>>Men det var nu mere hvad mit problem skyldes?
>
>
> Det er ssh der tjekker det. Der forbindes fra 10.0.0.10 ssh slår op og
Mit problem er:
"Når jeg logger ind på den via SSH skriver den i log'en at min IP
addresse er lig serverens IP adresse, og ikke min klients IP adresse."
Det andet var bare med da det evt. kunne indikere noget om fejlen, da
linierne kom sammen i log'en.
Når jeg forsøger at reversedns'e klientens ip addresse får jeg også
klientens hostname, og IKKE serverens.
Venlig hilsen
Mads
| |
Kasper Dupont (07-11-2005)
| Kommentar
Fra : Kasper Dupont |
Dato : 07-11-05 11:12 |
|
Mads wrote:
>
> Hej
>
> Jeg har en Debian Sarge server som opfører sig underligt.
>
> Når jeg logger ind på den via SSH skriver den i log'en at min IP
> addresse er lig serverens IP adresse, og ikke min klients IP adresse.
>
> Jeg kan se at problemet er opstået omkring d. 1. november.
>
> Derudover får jeg nogle:
> Nov 5 13:58:54 tandrup03 sshd[14434]: Address <serverip> maps to
> <servernavn>, but this does not map back to the address - POSSIBLE
> BREAKIN ATTEMPT!
> i auth.log.
Hvad får dig til at tro, at den melding har noget med klienten
adresse at gøre?
--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.
| |
Mads (07-11-2005)
| Kommentar
Fra : Mads |
Dato : 07-11-05 22:19 |
|
Kasper Dupont wrote:
> Mads wrote:
>
>>Hej
>>
>>Jeg har en Debian Sarge server som opfører sig underligt.
>>
>>Når jeg logger ind på den via SSH skriver den i log'en at min IP
>>addresse er lig serverens IP adresse, og ikke min klients IP adresse.
>>
>>Jeg kan se at problemet er opstået omkring d. 1. november.
>>
>>Derudover får jeg nogle:
>>Nov 5 13:58:54 tandrup03 sshd[14434]: Address <serverip> maps to
>><servernavn>, but this does not map back to the address - POSSIBLE
>>BREAKIN ATTEMPT!
>>i auth.log.
>
>
> Hvad får dig til at tro, at den melding har noget med klienten
> adresse at gøre?
>
Jeg fik vist cuttet log'en lidt for meget. Men de optræder umiddelbart
altid parvis. Her er to eksempler, den første er fra en bruger der
forsøger at logge ind fra en godkendt klient, men som ikke får adgang da
serveren tror han kommer fra <serverip>:
Nov 7 15:56:21 <servernavn> sshd[26918]: Address <serverip> maps to
<servernavn>, but this does not map back to the address - POSSIBLE
BREAKIN ATTEMPT!
Nov 7 15:56:21 <servernavn> sshd[26918]: Authentication tried for
<brugernavn> with correct key but not from a permitted host
(host=<serverip>, ip=<serverip>).
Nov 7 22:13:07 <servernavn> sshd[17956]: Address <serverip> maps to
<servernavn>, but this does not map back to the address - POSSIBLE
BREAKIN ATTEMPT!
Nov 7 22:13:07 <servernavn> sshd[17956]: Accepted publickey for
<brugernavn> from <serverip> port 12224 ssh2
Håber der er nogen idé til hvorledes jeg får korrekte klient host igen.
Venlig hilsen
Mads
| |
Kasper Dupont (07-11-2005)
| Kommentar
Fra : Kasper Dupont |
Dato : 07-11-05 22:45 |
|
Mads wrote:
>
> Jeg fik vist cuttet log'en lidt for meget. Men de optræder umiddelbart
> altid parvis. Her er to eksempler, den første er fra en bruger der
> forsøger at logge ind fra en godkendt klient, men som ikke får adgang da
> serveren tror han kommer fra <serverip>:
>
> Nov 7 15:56:21 <servernavn> sshd[26918]: Address <serverip> maps to
> <servernavn>, but this does not map back to the address - POSSIBLE
> BREAKIN ATTEMPT!
> Nov 7 15:56:21 <servernavn> sshd[26918]: Authentication tried for
> <brugernavn> with correct key but not from a permitted host
> (host=<serverip>, ip=<serverip>).
>
> Nov 7 22:13:07 <servernavn> sshd[17956]: Address <serverip> maps to
> <servernavn>, but this does not map back to the address - POSSIBLE
> BREAKIN ATTEMPT!
> Nov 7 22:13:07 <servernavn> sshd[17956]: Accepted publickey for
> <brugernavn> from <serverip> port 12224 ssh2
>
> Håber der er nogen idé til hvorledes jeg får korrekte klient host igen.
Har du nogle iptables regler?
--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.
| |
Søren A Christensen (08-11-2005)
| Kommentar
Fra : Søren A Christensen |
Dato : 08-11-05 09:37 |
|
Kasper Dupont wrote:
> Mads wrote:
>
>>Jeg fik vist cuttet log'en lidt for meget. Men de optræder umiddelbart
>>altid parvis. Her er to eksempler, den første er fra en bruger der
>>forsøger at logge ind fra en godkendt klient, men som ikke får adgang da
>>serveren tror han kommer fra <serverip>:
>>
>>Nov 7 15:56:21 <servernavn> sshd[26918]: Address <serverip> maps to
>><servernavn>, but this does not map back to the address - POSSIBLE
>>BREAKIN ATTEMPT!
>>Nov 7 15:56:21 <servernavn> sshd[26918]: Authentication tried for
>><brugernavn> with correct key but not from a permitted host
>>(host=<serverip>, ip=<serverip>).
>>
>>Nov 7 22:13:07 <servernavn> sshd[17956]: Address <serverip> maps to
>><servernavn>, but this does not map back to the address - POSSIBLE
>>BREAKIN ATTEMPT!
>>Nov 7 22:13:07 <servernavn> sshd[17956]: Accepted publickey for
>><brugernavn> from <serverip> port 12224 ssh2
>>
>>Håber der er nogen idé til hvorledes jeg får korrekte klient host igen.
>
>
> Har du nogle iptables regler?
>
Er det ikke "bare" et reverse dns problem ?
Når den slår ip-adressen får den et servernavn, når den efterfølgende
slår servernavnet op får den en anden ip-adresse - eller ingen ip-adresse.
Mvh Søren
| |
Mads (08-11-2005)
| Kommentar
Fra : Mads |
Dato : 08-11-05 11:46 |
|
Søren A Christensen wrote:
> Kasper Dupont wrote:
>
>> Mads wrote:
>>
>>> Jeg fik vist cuttet log'en lidt for meget. Men de optræder umiddelbart
>>> altid parvis. Her er to eksempler, den første er fra en bruger der
>>> forsøger at logge ind fra en godkendt klient, men som ikke får adgang da
>>> serveren tror han kommer fra <serverip>:
>>>
>>> Nov 7 15:56:21 <servernavn> sshd[26918]: Address <serverip> maps to
>>> <servernavn>, but this does not map back to the address - POSSIBLE
>>> BREAKIN ATTEMPT!
>>> Nov 7 15:56:21 <servernavn> sshd[26918]: Authentication tried for
>>> <brugernavn> with correct key but not from a permitted host
>>> (host=<serverip>, ip=<serverip>).
>>>
>>> Nov 7 22:13:07 <servernavn> sshd[17956]: Address <serverip> maps to
>>> <servernavn>, but this does not map back to the address - POSSIBLE
>>> BREAKIN ATTEMPT!
>>> Nov 7 22:13:07 <servernavn> sshd[17956]: Accepted publickey for
>>> <brugernavn> from <serverip> port 12224 ssh2
>>>
>>> Håber der er nogen idé til hvorledes jeg får korrekte klient host igen.
>>
>>
>>
>> Har du nogle iptables regler?
>>
>
> Er det ikke "bare" et reverse dns problem ?
> Når den slår ip-adressen får den et servernavn, når den efterfølgende
> slår servernavnet op får den en anden ip-adresse - eller ingen ip-adresse.
>
> Mvh Søren
Hvis jeg på serveren vha. nslookup tjekker serverens og klientens ip
adresse, så har de begge korrekt hostname, og hostnamene giver den samme
ip. Så jeg mener ikke der burde være nogen problemer i den retning.
Venlig hilsen
Mads
| |
Mads (08-11-2005)
| Kommentar
Fra : Mads |
Dato : 08-11-05 16:07 |
|
Kasper Dupont wrote:
>
> Har du nogle iptables regler?
>
Nej. Dem fjernede jeg for at se om der var noget der.
Venlig hilsen
Mads
| |
Kasper Dupont (08-11-2005)
| Kommentar
Fra : Kasper Dupont |
Dato : 08-11-05 17:42 |
|
Mads wrote:
>
> Kasper Dupont wrote:
> >
> > Har du nogle iptables regler?
> >
> Nej. Dem fjernede jeg for at se om der var noget der.
Så må du nok igang med ethereal og strace.
--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.
| |
Rasmus Bøg Hansen (08-11-2005)
| Kommentar
Fra : Rasmus Bøg Hansen |
Dato : 08-11-05 11:54 |
|
Mads <mads@iname.com> hit the keyboard.
Afterwards the following was on the screen:
> Søren A Christensen wrote:
>> Kasper Dupont wrote:
>>
>>> Mads wrote:
>>>
>>>> Jeg fik vist cuttet log'en lidt for meget. Men de optræder umiddelbart
>>>> altid parvis. Her er to eksempler, den første er fra en bruger der
>>>> forsøger at logge ind fra en godkendt klient, men som ikke får adgang da
>>>> serveren tror han kommer fra <serverip>:
>>>>
>>>> Nov 7 15:56:21 <servernavn> sshd[26918]: Address <serverip> maps to
>>>> <servernavn>, but this does not map back to the address - POSSIBLE
>>>> BREAKIN ATTEMPT!
>>>> Nov 7 15:56:21 <servernavn> sshd[26918]: Authentication tried for
>>>> <brugernavn> with correct key but not from a permitted host
>>>> (host=<serverip>, ip=<serverip>).
>>>>
>>>> Nov 7 22:13:07 <servernavn> sshd[17956]: Address <serverip> maps to
>>>> <servernavn>, but this does not map back to the address - POSSIBLE
>>>> BREAKIN ATTEMPT!
>>>> Nov 7 22:13:07 <servernavn> sshd[17956]: Accepted publickey for
>>>> <brugernavn> from <serverip> port 12224 ssh2
>>>>
>>>> Håber der er nogen idé til hvorledes jeg får korrekte klient host igen.
>>>
>>>
>>>
>>> Har du nogle iptables regler?
>>>
>> Er det ikke "bare" et reverse dns problem ?
>> Når den slår ip-adressen får den et servernavn, når den
>> efterfølgende slår servernavnet op får den en anden ip-adresse -
>> eller ingen ip-adresse.
>> Mvh Søren
>
> Hvis jeg på serveren vha. nslookup tjekker serverens og klientens ip
> adresse, så har de begge korrekt hostname, og hostnamene giver den samme
> ip. Så jeg mener ikke der burde være nogen problemer i den retning.
Hvad har du i /etc/hosts?
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
[ Cancel Cancelled ]
- Pine
----------------------------------------------[ moffe at zz9 dot dk ] --
| |
|
|