Доступ по SSH к Debian Jessie

ColdRain · 30 января 2017, 08:42:37

Здравствуйте!
С недавних пор мне потребовался удаленный доступ извне к моему домашнему ПК. Реализовал посредством SSH. Настроил, проверил - всё работает. Остался доволен. Однако, выяснился такой нюанс: если компьютер просто включить и не выполнять вход в систему, то доступа по SSH я не имею. Не удается подключиться ни через Putty, ни через Linux Mint. Если залогиниться на комп, то подключение от имении этого же пользователя по SSH сразу выполняется.
В открытых источниках по данному поводу не удалось найти ответа на этот вопрос. На данном форуме есть похожая, как мне показалось, тема https://debianforum.ru/index.php?topic=4759.msg41310#msg41310 но в ней человек явно дал понять, что игрался с правами на /var. Я же ничего не менял.
Подскажите, у кого какие мысли на этот счет?
Десктоп Debian Jessie х64 Cinnamon.

ogost · 30 января 2017, 08:59:25

как настраивали? такое чувство, что демон из-под пользователя запускается

ColdRain · 30 января 2017, 09:15:04

Настройка почти дефолтная. Изменил порт по умолчанию, запретил рут, разрешил Х11 - вот и всё! Причем putty пишет, "network error connection refused", как будто сервис действительно не запущен и не удается создать подключение по портам взаимодействия.
Подскажите, какой лог отвечает за работу SSH и аутентификацию пользователей?

endru · 30 января 2017, 09:20:02

может проще конфиг показать?

ColdRain · 30 января 2017, 09:27:05

Цитата: endru от 30 января 2017, 09:20:02может проще конфиг показать?

Сейчас нахожусь на работе и нет доступа к своему десктопу.
Вечером приложу конфиг. Я правильно понимаю, что речь идет про /etc/ssh/sshd_config ?

endru · 30 января 2017, 09:35:26

Цитата: ColdRain от 30 января 2017, 09:27:05Я правильно понимаю, что речь идет про /etc/ssh/sshd_config ?

какой конфиг правили, тот и нужно показывать.

ColdRain · 30 января 2017, 20:03:29

Цитата: endru от 30 января 2017, 09:35:26какой конфиг правили

Правил конфиг сервера, sshd_config. Приложил под спойлером.

Открыть содержимое (спойлер)

# Package generated configuration file
# See the sshd_config(5) manpage for details
# What ports, IPs and protocols we listen for
Port 1234
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 1024
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
#Banner /etc/issue.net
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

[свернуть]

endru · 31 января 2017, 03:42:35

а /etc/pam.d/sshd не правился?

ColdRain · 31 января 2017, 08:20:55

Нет, этот конфиг-файл я не изменял.

ogost · 31 января 2017, 08:24:26

в качестве бреда - может в неактивность комп "засыпает"? или сетевуха вырубается? мне такое единожды встречалось, на одном ноуте вафля отваливалась в неактивность, невозжможно было достучаться, пока не подергаешь мышкой.

ColdRain · 31 января 2017, 08:28:56

Этот вариант я сразу же исключил на этапе настройки. Все режимы сна/ожидания отключены. Моя проблема с этим точно не связана, т.к. сразу же после включения компьютера (до входа в систему) я проверяю подключение по SSH - ничего. Залогинился - тут же доступ получаю.

Cообщение объединено 31 января 2017, 08:29:54

Цитата: ogost от 30 января 2017, 08:59:25такое чувство, что демон из-под пользователя запускается

Давайте проверим ваше предположение. Подскажите, как узнать, из-под какой учетной записи стартует сервис sshd?

ogost · 31 января 2017, 08:37:11

ещё один бредовый вариант - смените порт на 2х значный, например 26

Cообщение объединено 31 января 2017, 08:40:55

Цитата: ColdRain от 31 января 2017, 08:28:56Давайте проверим ваше предположение. Подскажите, как узнать, из-под какой учетной записи стартует сервис sshd?

ps aux | grep sshd

ColdRain · 31 января 2017, 09:52:08

Вот результат. Там видны процессы как от рута, так и от моего тестового пользователя alex

Открыть содержимое (спойлер)

root 793 0.0 0.0 55184 5492 ? Ss 06:39 0:00 /usr/sbin/sshd -D
root 1995 0.0 0.0 99520 6384 ? Ss 08:15 0:00 sshd: alex [priv]
alex 1997 0.0 0.0 99520 4440 ? S 08:15 0:00 sshd: alex@pts/0
root 2102 0.0 0.0 99520 6456 ? Ss 09:32 0:00 sshd: alex [priv]
alex 2104 0.0 0.0 99520 4492 ? S 09:32 0:00 sshd: alex@pts/1

[свернуть]

ogost · 31 января 2017, 10:23:47

за неимением второго компа под рукой не могу протестировать, за сим откланаяюсь. В качестве последнего совета - верните порт на стандартный, или поменяйте на другой 2х значный

ColdRain · 31 января 2017, 10:34:44

Сейчас не могу изменить порт - сижу удаленно на этом же соединении. Вечером протестирую ваш вариант. Спасибо за совет!

Cообщение объединено 01 февраля 2017, 09:25:08

Цитата: ogost от 31 января 2017, 10:23:47В качестве последнего совета - верните порт на стандартный, или поменяйте на другой 2х значный

Проверил на 22 порту - ситуация не изменилась. Если пытаюсь подключиться к ssh-серверу с Linux-клиента, то получаю ошибку "No route to host". Если с винды через Putty, то "Network error: Connection timed out". Печаль какая-то. Я уже морально готов настроить автологон на ssh-сервере.