3 votes

venkatachalam avatar

Pourquoi ssh se bloque-t-il après "debug1 : loaded 3 keys" ?

Demandé el 5 de Octobre, 2010
Quand la question a-t-elle été
3011 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie de me connecter à une instance Amazon EC2 exécutant Ubuntu 10.04.1. Je peux me connecter sans problème. Un autre utilisateur, venant d'un autre réseau, obtient ceci :

OpenSSH_4.3p2, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to xxxx [xxxx] port 80.
debug1: Connection established.
debug1: identity file /.ssh/identity type -1
debug1: identity file /.ssh/id_rsa type -1
debug1: identity file /.ssh/id_dsa type -1
debug1: loaded 3 keys

Et puis ça se bloque.

Nous avons essayé de lancer sshd sur le port 22 et le port 80.

Je suppose qu'il ne s'agit pas d'un problème de pare-feu puisque la sortie verbeuse indique que la connexion est établie.

Je ne vois rien dans /var/log/auth.log lorsque l'utilisateur défaillant se connecte. Je vois des entrées lorsque je me connecte avec succès.

Demandé el 5 de Octobre, 2010 par venkatachalam

Réponses

Trop de publicités?

3voto

slk avatar
slk Points 1

C'est un symptôme que j'ai observé à intervalles réguliers, et je parierais qu'il est causé par l'un des sauts entre votre serveur en nuage et le réseau de l'utilisateur qui filtre les messages ICMP sans discernement, ce qui fait échouer la découverte du MTU du chemin ; l'échange de clés est la première partie du protocole SSH où il est probable que de grands segments TCP soient envoyés sur le socket, et le plus susceptible de déclencher le problème.

Il y a deux façons simples d'isoler le problème : essayez d'effectuer des échanges importants via un autre protocole entre les mêmes hôtes (par exemple, téléchargez un fichier via un formulaire web), ou forcez artificiellement le MTU sur l'hôte de l'utilisateur à une valeur suffisamment petite pour s'adapter à tout MTU plausible sur le réseau (~300b). Si le problème apparaît lors d'autres transferts importants et disparaît avec le MTU plus petit, alors vous avez trouvé le coupable.

(La raison pour laquelle cela se produit est que lorsqu'un paquet IP dont le drapeau DF (don't fragment) est activé est transmis et ne passe pas par un saut, le saut répondra par un message ICMP ; et le filtrage de ces messages ICMP est une mauvaise configuration commune aux administrateurs réseau inexpérimentés ou trop paranoïaques - ainsi l'hôte émetteur ne sait jamais que le MTU du chemin est plus petit qu'il ne le pense et les paquets disparaissent simplement dans l'éther).

La mauvaise nouvelle est qu'il ne s'agit pas d'un problème qui peut être résolu au niveau de l'un ou l'autre des points d'extrémité en général, mais au niveau du saut où le filtrage inapproprié a lieu. Vous pouvez contourner le problème en configurant manuellement les MTU, mais il s'agit d'une solution peu pratique et, au mieux, fragile.

Répondu el 2 de Avril, 2012 par slk (1 Points )

0voto

Caleb avatar
Caleb Points 11393

Pouvons-nous éliminer le pare-feu de manière plus concluante en désactivant le port ssh dans la liste de contrôle d'accès ec2 et voir à quoi ressemble la sortie de débogage ? Je pense que vous avez raison mais il serait intéressant de voir la différence.

Avez-vous d'autres contrôles d'accès du côté de l'instance ? Liste noire / liste blanche SSH ?

Répondu el 5 de Octobre, 2010 par Caleb (11393 Points )

0voto

Christoph avatar
Christoph Points 161

Je sais qu'il s'agit d'un très vieux fil, mais il n'a pas reçu de réponse satisfaisante (IMHO). Je suis arrivé ici en cherchant sur Google, d'autres le feront peut-être aussi.

J'ai résolu ce problème en vérifiant la configuration du réseau. Mon client SSH avait un masque de réseau obsolète, /24 au lieu de /22. J'ai mis à jour la configuration, redémarré le réseau, et tout allait bien.

Répondu el 2 de Mars, 2017 par Christoph (161 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X