ssh-loginprobleme dsa/rsa-keys

H

haksi

New Member
hallo,
beim Verbinden per ssh auf meinen Server habe ich Probleme

WARNING: RSA key found for host
in
RSA key fingerprint
The authenticity of host can't be established
but keys of different type are already known for this host.
DSA key fingerprint is
Are you sure you want to continue connecting

jagdte mir schon mal einen schreck ein...
nachdem aber mail ftp http alles funktionierte und auch von meinem Server zu kommen schien,
gab ich mein Passwort ein.
die Verbindung wurde sofort zurückegsetzt,
ich komme also nicht mehr rein,
und kann keine Ursachenforschung betreiben.

wie kann es sein,
das mein Server auf einmal rsa will,
und ich bisher immer dsa gemacht habe?

die letzte Aktion war vermutlich DiG zu installieren,
weiß ich aber nicht genau
mein admin ist in Spanien und sagt er wäre danach noch mal drinne gewesen...

hat jemand eine Idee für mich,
was ich tun könnte ?
 
Es wäre schön wenn du deine Gedanken beim nächsten Beitrag mal ordnen würdest. Es ist schwierig dir zu folgen.

Könntest du weiterhin mal ein bisschen was über dein System sagen, welches Distribution du verwendest, wer denn nun von euch beiden Admin der Maschine ist und was dein Admin (wenn er wirklich derjenige ist der von euch beiden Ahnung hat und die Arbeiten an der Maschine vornimmt) zu dem Problem gesagt hat (du hast ja scheinbar mit ihm gesprochen)? Nebenbei, über welches Programm versuchst du dich gerade auf dem Server einzuloggen?

Wenn du dich im Stande fühlst nachzusehen was da los ist, dann nimm den Server offline, boote in den Rescue-Mode (bei welches Hoster bist du?), mounte die entsprechenden Partitionen und schau dir die Log-Dateien an. Dann kannst du gleich alles weitere prüfen...
 
Verzeihung für die Ungenauigkeiten,
ich versuch noch mal alles der Reihe nach zu erzählen.

Server ist ein DS3000 von Hetzner mit ubuntu 8.04

Normalerweise gehe ich per Putty drauf
Als ich das gestern tun wollte,
bekam ich die übliche Meldung,
die ich bei neuen Hosts erhalte
...key is not stored in the registry...
was merkwürdig ist,
denn ich war bereits von diesem Rechner aus mehrmals drauf

Verunsichert testete ich,
ob ich unter der ip auch tatsächlich meinen Server erreichte,
und nicht jemanden,
der sich dazwischengehängt hat.
wie gesagt,
glaubte ich,
das email, http und ftp wirklich mit meinem Server redeten

So das ich Putty erlaubte den neuen key zu übernehmen und mein Passwort eingab.
Anschliessend wurde die Verbindung sofort beendet,
"Server unexpectedly closed network connection"

Daraufhin telefonierte ich mit dem,
der sich normalerweise um den Server kümmert.
Er hatte zunächst auch keine Idee, ihm fiel aber ein, das er einen ähnlichen Effekt hatte,
als Putty statt ssh Version2 Version1 benutzte.
Also probierte ich es mit ssh2 only mit dem selben Erfolg wie oben,
dann mit ssh1 only, wobei ich die Fehlermeldung
"SSH protocol verssion 1 required by user but not provided by server" erhalte

In der Hoffnung, noch andere Optionen zu bekommen,
versuchte ich das Login von einem Linux aus mit "ssh..." usw. an der shell. Ebenfalls mit Parameter -1 bzw. -2
-1 geht nicht, logisch
-2 bringt die im ersten Beitrag beschriebene Warnung
also Server sendet andere Schlüssel-art als beim letzen mal

Lasse ich diesen neuen Schlüssel verwenden,
bricht die Verbindung nach der Passworteingabe ab und zwar so:
falsches Passwort:
-Putty:Access denied
-ssh an der shell: Permission denied, please try again.
richtiges Passwort:
-Putty:Server unexpectedly closed network connection
-ssh an der shell: Connection to closed by remote host. Connection to closed.

??kann es sein, das da einfach die shell stirbt??

Mit der Rescue-Console kann ich mich einloggen,
habe die Platten gemountet
cd /mnt
mkdir sda2
mount /dev/sda2 /mnt/sda2
mkdir sdb1
mount /dev/sdb1 /mnt/sdb1

und Daten von der ersten auf die zweite gesichert

logfiles muß ich noch ansehen,
was ich davon verstehe

chroot habe ich versucht auf das System auf der Platte
chroot /mnt/sda2 /bin/bash
hat funktioniert,
??heißt das, die shell ist doch lebensfähig??

Leider bin ich da mit meinem Latain am Ende,
??was kann ich hier richten??
??sterbende shell??
??veränderte verschlüsselung??

Ich werd jetzt noch mal ins rescue wechseln,
und überprüfen, was den Usern für eine Shell gegeben ist.
 
Last edited by a moderator:
Die Sache ist doch die und die solltest du genau untersuchen (deswegen auch meine Frage nach dem Admin was er dazu sagt), wer hat etwas an den Schlüsseln verändert? Wer würde diese Schlüssel verändern wollen?

Ich bezweifle das es an der Shell liegt. Bitte prüfe genau bevor du den Server wieder online nimmst, was da passiert ist. Wenn es keiner von euch war, war es jemand anderes, Schlüssel verändern sich nicht von alleine.

- schau mal nach neuen Usern
- Dateien in /tmp, /var/tmp
- Veränderung der /etc/passwd, der Dateien unter /etc/ssh/
- Log-Dateien /var/log
 
Hallo,
die Gespräche mit dem Admin waren sehr kurz,
und ob er was an den Schlüsseln geändert hat,
war meine erste Frage,
die er verneinte

Allerdings bin ich immer wieder erstaunt,
was welche Folgen nachsichzieht,
...und irgendwas installiert hatte er

Kann denn der key ein Grund für das Sterben der Session sein?
Ich würde denken,
das das Thema keys vor der Passworteingabe geklärt ist?

hab auch grade mal Putty ausführlicher loggen lassen und soweit verstanden:
Event Log: Sent password
Event Log: Access granted
Event Log: Opened channel for session
Event Log: Allocated pty (ospeed 38400bps, ispeed 38400bps)
Event Log: Server unexpectedly closed network connection

Danke erst mal für deine Hilfe,
die Logfiles werde ich mir jetzt ansehen
 
Last edited by a moderator:
Naja, aber selbst wenn er was installiert hat, was kann das gewesen sein? Hat der den openssh-server neu installilert, dann kann man den neuen Schlüssel nachvollziehen, aber ansonsten prüfe wer oder was das war.

Was zuletzt installiert wurde solltest du durch die Log-Dateien auch herausfinden können. Schau nach "/var/log/apt" und "/var/log/aptitude".

Prüfe doch mal eben ob das Passwort für den User mit dem du dich versuchst einzuloggen noch stimmt und prüfe ebenso ob der User die nötigen Rechte zum Login via SSH hat.
 
var/log/apt/term.log
Code: 
1683 Log started: 2009-07-01  16:17:30
1684 Selecting previously deselected package bind9-host.^M
1685 (Reading database ... 33881 files and directories currently installed.)^M
1686 Unpacking bind9-host (from .../bind9-host_1%3a9.4.2-10_amd64.deb) ...^M
1687 Selecting previously deselected package dnsutils.^M
1688 Unpacking dnsutils (from .../dnsutils_1%3a9.4.2-10_amd64.deb) ...^M
1689 Setting up bind9-host (1:9.4.2-10) ...^M
1690 Setting up dnsutils (1:9.4.2-10) ...^M
1691 ^M
1692 Log ended: 2009-07-01  16:17:33

var/log/aptitude
Code: 
 94 Aptitude 0.4.9: log report
 95 Wed, Jul  1 2009 16:17:29 +0200
 96
 97 IMPORTANT: this log only lists intended actions; actions which fail due to
 98 dpkg problems may not be completed.
 99
100 Will install 2 packages, and remove 0 packages.
101 455kB of disk space will be used
102 ===============================================================================
103 [INSTALL, DEPENDENCIES] bind9-host
104 [HOLD] linux-image-server
105 [HOLD] linux-server
106 [INSTALL] dnsutils
107 ===============================================================================
108
109 Log complete.
davor jeweils seit April nichts

keine Veränderungen in /etc/ssh/

verdächtig:
etc/passwd verändert am 8.7.09
allerdings habe ich noch eine Kopie vom April,
und alle seit dem neuen User habe ich selbst angelegt,
und keiner von denen hat eine Shell (jeweils /bin/false oder /dev/null)

der user,
als der ich mich einloggen will hat /bin/sh stehen,
wie prüfe ich, ob er ssh darf und das Passwort stimmen?
Ich schätze das Passwort stimmt,
siehe oben anderes Verhalten bei richtigem Passwort als bei falschem.

dateien in /tmp
Code: 
drwxrwxrwt  4 root  root   20K 2009-07-12 22:43 .
drwxr-xr-x 24 root  root  4.0K 2009-07-11 19:20 ..
-rw-------  1 10037 10021    0 2009-07-12 22:43 clamassassinlog.XExxxxxx
-rw-------  1 10037 10021 1.6K 2009-07-12 22:43 clamassassinmsg.sQxxxxxx
drwxrwxrwt  2 root  root  4.0K 2009-07-12 22:07 .ICE-unix
-rw-------  1 root  root     0 2009-07-12 22:07 sess_abe629f0303a6xxxxxxx
drwxrwxrwt  2 root  root  4.0K 2009-07-12 22:07 .X11-unix
/var/tmp ist leer

in /var/log ist ziemlich viel drinne,
kommt mir aber nichts ungewöhnlich vor in var/log/syslog und var/log/messages,

interessant finde ich in var/log/auth.log,
das der Login eigentlich zu klappen scheint:
Code: 
Jul 12 13:09:11 sshd[13995]: connection from 
Jul 12 13:09:11 sshd[13995]: User local password accepted.
Jul 12 13:09:11 sshd[13995]: Password authentication for alex accepted.
Jul 12 13:09:11 sshd[13995]: User coming from authenticated.
               ***
Jul 12 14:39:01 CRON[5752]: pam_unix(cron:session): session opened for user by
Jul 12 14:39:01 CRON[5752]: pam_unix(cron:session): session closed for user
 
You must log in or register to reply here.
Back
Top