ssh

hei *,

Bei den Notebooks verfolge ich noch einige Spuren, hab aber leider
noch ein anderes Problem:

Ein PC mit Fedora Core 5 wird "uber NIS und DHCP mit Rechner- und
Benutzerdaten versogt.

Der Rechner ist von au"sen mit ping zu erreichen und mit traceroute
auch. Letzteres zeigt als letzte Station vor dem Rechner sein Gateway
an, wie man das erwarten w"urde.

Das Problem:
------------
  Ich kann mich von einem Rechner innerhalb desselben
  Subnetzes per ssh dort einloggen, als root (lokaler user) und auch
  als ewi (NIS-user) aber nicht von au"serhalb dieses Subnetzes (beide
  nicht).

Wenn ich es von au"serhalb versuche, passiert zun"achst gar nichts und
nach l"angerer Wartezeit (mehr als 1 Minute) bekomme ich die Frage
nach dem Passwort. Kurz zuvor wird aber schon in die /var/log/secure
(log-datei von sshd) geschrieben:

  Oct 22 08:00:34 lynch sshd[13007]: Failed publickey for ewi from 84.129.220.159 port 50609 ssh2

84.129.220.159 ist zu dem Zeitpunkt meine heimische IP gewesen. Der
von ssh2 angegebene Port ist jedesmal ein anderer. Wenn ich dann mein
Passwort eingebe, erhalte ich nach k"urzerer Wartezeit die Antwort:

  Read from socket failed: Connection reset by peer

und kein log in /var/log/secure.

Meine Fragen
------------
(neben der offensichtlichen, wie dieses Problem zu l"osen ist):

Was passiert w"ahrend dieser Wartezeiten?

Welchen Pucklickey benutzt sshd? (ich habe diese Meldung auch, wenn
ewi ihre Verzeichnisse ~/.ssh und ~/.ssh2 l"oscht.

Ein Zugriffsversuch auf einen Ein Kollege vermutet wegen dieser
Wartezeiten, dass da noch eine Firewall t"atig ist.

Ich habe SELinunx installiert, die hab ich aber deaktiviert. Gibt es
da noch andere Sicherheitsmechanismen, von denen ich nichts wei"s?

die Info zum User ewi wird ja anscheinend korrekt "uber NIS
"ubermittelt, denn ssh innerhalb des Netzes funktioniert ja und auch
die User- und Gruppen-Namen werden korrekt angezeigt.

Allerdings hatte ich ein Problem mit dem Gateway, das ich dadurch
behoben habe, dass ich das Gateway dieses Subnetzes mit Namen uund IP
in die Datei /etc/hosts eingetragen habe.

Herzliche Gr"u"se, Elke.

---------------------------------------
in /etc/sysconfig/iptables-config steht

# Load additional iptables modules (nat helpers)
# Default: -none-
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which
# are loaded after the firewall rules are applied. Options for the helpers are
# stored in /etc/modprobe.conf.
IPTABLES_MODULES="ip_conntrack_netbios_ns"

# Unload modules on restart and stop
# Value: yes|no, default: yes
# This option has to be 'yes' to get to a sane state for a firewall
# restart or stop. Only set to 'no' if there are problems unloading netfilter
# modules.
IPTABLES_MODULES_UNLOAD="yes"

# Save current firewall rules on stop.
# Value: yes|no, default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped
# (e.g. on system shutdown).
IPTABLES_SAVE_ON_STOP="no"

# Save current firewall rules on restart.
# Value: yes|no, default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets
# restarted.
IPTABLES_SAVE_ON_RESTART="no"

# Save (and restore) rule and chain counter.
# Value: yes|no, default: no
# Save counters for rules and chains to /etc/sysconfig/iptables if
# 'service iptables save' is called or on stop or restart if SAVE_ON_STOP or
# SAVE_ON_RESTART is enabled.
IPTABLES_SAVE_COUNTER="no"

# Numeric status output
# Value: yes|no, default: yes
# Print IP addresses and port numbers in numeric format in the status output.
IPTABLES_STATUS_NUMERIC="yes"

# Verbose status output
# Value: yes|no, default: yes
# Print info about the number of packets and bytes plus the "input-" and
# "outputdevice" in the status output.
IPTABLES_STATUS_VERBOSE="no"

# Status output with numbered lines
# Value: yes|no, default: yes
# Print a counter/number for every rule in the status output.
IPTABLES_STATUS_LINENUMBERS="yes"

---------------------------------------
in /etc/sysconfig/iptables steht

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
Received on Sun Oct 22 2006 - 10:48:00 CEST