Von Server Y aus versucht Benutzer A per SSH auf Server X zuzugreifen und erhält eine Verbindungsabweisung. Von Server Y aus versucht Benutzer B per SSH auf Server X zuzugreifen und erhält eine Verbindungsabweisung. Von Server Y aus versucht root per SSH zuzugreifen und erhält eine Verbindungsabweisung. Das Problem ist zu 100 % wiederholbar und zu 100 % konsistent.
Die ersten beiden würden auf ein Problem mit der ACL hinweisen, aber mir wurde gesagt, dass die Einstellungen für beide Benutzer gleich sind, obwohl ich keine Berechtigung habe, sie anzuzeigen. Sie wurden auch ohne Erfolg gelöscht und erneut hinzugefügt. Root ist jedoch nicht von der ACL betroffen und kann ebenfalls keine Verbindung herstellen.
Es gibt zwei Server mit diesem Problem und viele andere Server mit identischen Einstellungen in ifconfig (außer IP-Adressen usw.) und Routing-Tabellen, bei denen dieses Problem nicht auftritt.
Ein TCPdump auf Server X, der nach Verbindungen von Server Y sucht, zeigt nichts an, wenn Benutzer A versucht, eine Verbindung herzustellen, erzeugt jedoch Unmengen an Informationen, wenn Benutzer B versucht, eine Verbindung herzustellen. Dies zeigt, dass Server X nichts empfängt, wenn Benutzer A versucht, eine SSH-Verbindung herzustellen.
Alle Server laufen unter RedHat
Ich gehe davon aus, dass das Problem auf Server Y liegt, aber wonach soll ich suchen? Könnte ein benutzernamenbasiertes Verbindungsproblem in Firewalls zwischen den Servern auftreten, oder basieren solche Firewalls nicht auf Benutzernamen?
Bearbeiten - Sowohl Benutzer A als auch Benutzer B können per SSH von Server Y auf viele andere Server in der Gruppe zugreifen. Nur Server X hat das Problem. Beim SSH wird kein RSA verwendet, obwohl die Anmeldung bei Server Y dies tut.
Antwort1
Überprüfen Sie die Datei von Benutzer A. .ssh/configMöglicherweise hat er Hostin dieser Datei einen Eintrag für den betreffenden Hostnamen, der dazu führt, sshdass ein anderer Port oder eine andere IP-Adresse für diesen Hostnamen ausprobiert wird. Wenn er beispielsweise .ssh/configdiese Zeilen hätte:
Host a.example.com
Hostname b.example.com
Port 42
Anschließend würde die Ausführung von „ssh a.example.com“ versuchen, eine Verbindung zum Port 42 von b.example.com herzustellen.
Eine andere (unwahrscheinliche) Möglichkeit besteht darin, dass Benutzer A aus irgendeinem Grund ein anderes „SSH“-Programm ausführt, z. B. weil sein Befehlspfad anders ist und das alternative Programm sich nicht wie erwartet verhält.
Bearbeiten: Eine weitere unwahrscheinliche Möglichkeit ist, dass Sie zwei Hosts im Netzwerk haben, die auf dieselbe IP-Adresse antworten. Die fehlgeschlagenen Verbindungsanfragen werden an den falschen Server gesendet und von diesem beantwortet. Dies würde dazu führen, dass Verbindungen zufällig fehlschlagen und nicht konsistent pro Benutzer, sodass es nicht wirklich dem von Ihnen beschriebenen Verhalten entspricht.
Antwort2
Dies wurde behoben.
Es gab ZWEI Zugriffslisten - die erste war allgemein bekannt (ACL), in der die Server aufgelistet sind, mit denen sich ein Benutzer verbinden kann, und die zweite, bisher unbekannte Liste von Servern, auf die nur bestimmte Benutzer zugreifen dürfen, also das Gegenteil einer ACL. Nachdem die Server aus dieser Einschränkungsliste entfernt wurden, war der Zugriff für alle Benutzer zulässig.
Vielen Dank für alle Ihre Kommentare und Hinweise.