Ne peut pas SSH au serveur après la mise à niveau de Debian vers Buster sans identifier précédent de "Machine de confiance"
Je viens de mettre à niveau mon serveur debian à partir d'étirement (Stable) à Buster (Tests).
Une chose étrange que je ne peux pas sembler résoudre:
$ ssh [email protected] -p [censored] -o ConnectTimeout=5 -i /home/vlastimil/.ssh/id_rsa -vvv
résulte en:
OpenSSH_7.6p1 Ubuntu-4, OpenSSL 1.0.2n 7 Dec 2017
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: resolving "192.168.0.102" port [censored]
debug2: ssh_connect_direct: needpriv 0
debug1: Connecting to 192.168.0.102 [192.168.0.102] port [censored].
debug2: fd 3 setting O_NONBLOCK
debug1: connect to address 192.168.0.102 port [censored]: Connection refused
ssh: connect to Host 192.168.0.102 port [censored]: Connection refused
Cependant, si je me connecte à cet utilisateur localement (je peux même me déconnecter, il a juste besoin d'un identifiant), cela fonctionne.
J'ai pu se connecter en tant que root. Cependant, seulement à partir de la machine, en dépit de la clé publique échangée.
En outre, une seule connexion racine à partir de cette machine nécessaire, puis il est possible de vous connecter en racine de l'autre machine.
Quelqu'un pourrait-il élaborer quant à, comment puis-je déboguer cette question?
Configuration du serveur:
# grep -v '#' /etc/ssh/sshd_config
Port [censored]
Protocol 2
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
StrictModes yes
HostbasedAuthentication no
IgnoreRhosts yes
PermitEmptyPasswords no
ChallengeResponseAuthentication no
UsePAM yes
X11Forwarding yes
PrintMotd no
PrintLastLog no
Banner none
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
KeyRegenerationInterval 3600
ServerKeyBits 4096
Ciphers [email protected],[email protected]
MACs [email protected]
KexAlgorithms [email protected]
FingerprintHash sha512
Match Address 192.168.0.*
PermitRootLogin yes
Match all
PermitRootLogin no
Merci à Telcom 's - Réponse À propos d'un matériel rng I fait un apt search et trouvé le paquet rng-tools5 et l'installé:
Sudo apt-get install rng-tools5
Cela a résolu le problème sur mon Intel NUC.
Note de l'éditeur: Mon problème sur Dell PowerEdge T20 avec Xeon CPU a également été résolu avec cela.
Notes complémentaires:
Après l'installation du package, veuillez vérifier s'il existe une source aléatoire avec:
rngd -vDans mon cas, il n'y a pas de périphérique TPM, mais la CPU a
rdrandCapacité:Unable to open file: /dev/tpm0 Available entropy sources: DRNG
connection refused suggère que sshd ne fonctionne pas.
Cela peut être juste une question de temps: lorsque l'invite de connexion apparaît sur la console, elle ne garantit pas que tous les services système ont encore terminé le démarrage.
sshd peut également être bloqué en attente de /dev/[u]random, surtout si le système est situé dans un segment de réseau avec très peu de trafic réseau. Dans ce cas, le système a très peu de sources de véritable aléatoire disponibles et a des difficultés à recueillir suffisamment de bits vraiment aléatoires pour semer initialement le générateur de nombres aléatoires du noyau. La connexion sur la console système fournira une certaine aléatoire sous la forme des bits les plus bas des délais d'interruption du clavier. Si le système a une forme de matériel rng, permettant ainsi de résoudre ce problème.
Pour diagnostiquer, il suffit de taper quelques lignes de non-sens à l'invite de connexion à la console sans se connecter réellement. Si sshd répond normalement après cela, le noyau était probablement affamé de hasard et incapable de semer le noyau et que cela a causé le démarrage de sshd doit être retardé.
Ou peut-être une sorte de systemd bug de dépendance qui ne permet que sshd de démarrer lorsque les processus liés à la connexion sont commencés en premier. Ce serait l'une des raisons pour lesquelles Debian Buster est toujours la distribution testing: si cela s'avère être la cause, veuillez envoyer un rapport de bogue.
Le paquet ont résolu le problème.
Le fil: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=912087