С сервера Y пользователь A пытается подключиться по ssh к серверу X и получает сообщение Connection Refused. С сервера Y пользователь B пытается подключиться по ssh к серверу X и ему разрешают подключиться. С сервера Y пользователь root пытается подключиться по ssh и получает сообщение Connection Refused. Проблема повторяется на 100% и является на 100% последовательной.
Первые два указывают на проблему с ACL, но мне сказали, что настройки одинаковы для обоих пользователей, хотя у меня нет разрешения на их просмотр. Они также были удалены и переписаны без успеха. Однако root не подвержен влиянию ACL и также не может подключиться.
Есть два сервера с этой проблемой и много других серверов с идентичными настройками в ifconfig (за исключением IP-адресов и т. д.) и таблицами маршрутизации, которые не страдают от этой проблемы.
Tcpdump на сервере X, ищущий соединения с сервером Y, ничего не показывает, когда пользователь A пытается подключиться, но выдает кучу информации, когда пытается подключиться пользователь B. Это показывает, что сервер X ничего не получает, когда пользователь A пытается подключиться по ssh.
Все серверы работают под управлением RedHat
Я предполагаю, что проблема на сервере Y, но на что мне следует обратить внимание? Может ли проблема с подключением на основе имени пользователя возникнуть в брандмауэрах между серверами, или такие брандмауэры не основаны на имени пользователя?
Редактировать - Оба пользователя A и B могут подключаться по ssh с сервера Y ко многим другим серверам в группе. Проблема только с сервером X. Ssh-ing не использует RSA, хотя вход на сервер Y изначально использует.
решение1
.ssh/configПроверьте файл пользователя A. У него может быть Hostзапись в этом файле для имени хоста, о котором идет речь, что заставляет sshпопробовать другой порт или IP-адрес для этого имени хоста. Например, если .ssh/configбыли эти строки:
Host a.example.com
Hostname b.example.com
Port 42
Затем запуск «ssh a.example.com» попытается подключиться к порту 42 b.example.com.
Другая (маловероятная) возможность заключается в том, что пользователь A по какой-то причине запускает другую программу «ssh», например, потому что его путь к командам отличается, и альтернативная программа ведет себя не так, как ожидалось.
Редактировать: Другая маловероятная возможность заключается в том, что у вас есть два хоста в сети, отвечающие на один и тот же IP-адрес. Неудачные запросы на подключение отправляются и получают ответ от неправильного сервера. Это приведет к случайным сбоям подключений, а не к последовательному сбою для каждого пользователя, так что это не совсем соответствует поведению, которое вы описываете.
решение2
Эта проблема была решена.
Было ДВА списка доступа - первый, о котором было общеизвестно (ACL), в котором перечислены серверы, к которым может подключиться пользователь, и второй, ранее неизвестный список серверов, к которым разрешен доступ только определенным пользователям, т. е. обратный ACL. После удаления серверов из этого списка ограничений доступ был разрешен всем пользователям.
Спасибо за все ваши комментарии и советы.