Debian-facile

Ophrys

Membre

Inscription : 08-07-2019

[Résolu] [Upgrade vers Buster] Impossible de me connecter en ssh

Bonjour,

J'ai un serveur hébergé chez Ionos (1&1) depuis quelques années. Aujourd'hui, j'ai décidé de le mettre à jour vers Buster et j'ai rencontré deux problèmes :

- petit souci avec la mise à jour de udev :
Job for systemd-udevd.service failed because the control process exited with error code.
Mais je me suis dit qu'un reboot devrait régler le problème.

- impossible de me connecter en ssh après la mise à jour, que ce soit avant ou après un reboot.

J'ai donc repris les choses à zéro : j'ai réinitialisé le serveur (debian 9.9 proposé par défaut), mis à jour mes sources.list et effectué mes update, upgrade et full-upgrade.
J'ai toujours le même problème avec udev (dont je n'ai pas tenu compte) et toujours impossible de me reconnecter en ssh (juste après la mise à jour, avant ou après reboot). Un ssh -vvv s'achève par :

debug1: SSH2_MSG_KEXINIT sent
Connection closed by [ip de mon serveur]

Ce que j'ai essayé :
- un apt-mark hold sur udev et openssh-server avant de lancer la mise à jour : même souci pour me reconnecter en ssh après mon apt upgrade.
- de faire un unhold sur openssh-server, mettre à jour et relancer le service. Toujours le même souci.
- de faire un unhold sur udev et mettre à jour. Idem.
- d'ajouter un UsePrivilegeSeparation yes dans sshd_config (la mise à jour propose de supprimer la ligne UsePrivilegeSeparation sandbox). J'ai fait ça en suivant la suggestion du post de quelqu'un qui avait un problème proche du mien, mais sans savoir ce que je faisais.

Après mon apt upgrade et une tentative de connexion (en root, car dans ces manips je n'ai pas pris le temps de créer un utilisateur), je ne trouve rien dans /var/log/auth.log
J'ai quelque chose, mais qui remonte à plusieurs minutes avant ma tentative de connexion :
Jul  8 01:17:51 s22154214 sshd[522]: Failed password for root from 222.xxx.xx.xxx port 19859 ssh2
Jul  8 01:17:53 s22154214 sshd[522]: Failed password for root from 222.xxx.xx.xxx port 19859 ssh2
Jul  8 01:17:55 s22154214 sshd[522]: Failed password for root from 222.xxx.xx.xxx port 19859 ssh2
Jul  8 01:17:55 s22154214 sshd[522]: Received disconnect from 222.xxx.xx.xxx port 19859:11:  [preauth]
Jul  8 01:17:55 s22154214 sshd[522]: Disconnected from 222.xxx.xx.xxx port 19859 [preauth]
Jul  8 01:17:55 s22154214 sshd[522]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.xxx.xx.xxx  user=root
Jul  8 01:18:24 s22154214 sshd[526]: Did not receive identification string from 195.xx.xx.x port 49217

Je me suis dit qu'un reboot sur le système mis à jour me permettrait peut-être de reconfigurer mon serveur ssh dans de bonnes conditions. Mais, comme l'accès ssh est impossible, j'ai installé telnetd (je sais ... ) et fais un systemctl enable inetd après avoir vérifié que le fichier de config d'inetd incluait bien une ligne relative à telnetd. Impossible de me connecter en telnet après le reboot.

En gros, je connais très mal le fonctionnement de ssh, n'ai rien trouvé dans les logs qui pourrait me mettre sur une piste et ai dont essayé des solutions de contournement

Je ne sais plus quoi faire et votre aide serait la bienvenue !

Dernière modification par Ophrys (13-07-2019 14:46:52)

Ophrys

Membre

Inscription : 08-07-2019

Re : [Résolu] [Upgrade vers Buster] Impossible de me connecter en ssh

J'ai peut-être fait un peu long
Ou je suis peut-être juste trop pressé ;-) Dans tous les cas, je vais faire plus synthétique :

Je n'arrive pas à me connecter à ma machine virtuelle hébergée par Ionos (sur Parallels) une fois la mise à jour effectuée de Debian 9.9 vers la version 10.
Côté client, un ssh -vvv abc@xxx.yyy me donne :

debug1: SSH2_MSG_KEXINIT sent
Connection closed by [ip de mon serveur]

Comme je viens de réinitialiser ma machine (en 9.9 donc), je sais ce qui est censé arriver après :

debug3: receive packet: type 20
debug1: SSH2_MSG_KEXINIT received
debug2: local client KEXINIT proposal

Qu'est-ce que SSH2_MSG_KEXINIT et qu'est-ce qui pourrait empêcher sa réception ? Si c'est bien ça le problème bien sûr.

Merci !!!

Dernière modification par Ophrys (08-07-2019 23:29:58)

Ophrys

Membre

Inscription : 08-07-2019

Re : [Résolu] [Upgrade vers Buster] Impossible de me connecter en ssh

J'ai décommentté LogLevel INFO dans sshd_config :

tail /var/log/auth.log
Jul  9 00:23:17 s22154214 sshd[3119]: fatal: ssh_sandbox_child: setrlimit(RLIMIT_FSIZE, { 0, 0 }): Function not implemented [preauth]
Jul  9 00:23:20 s22154214 sshd[3113]: Received signal 15; terminating.
Jul  9 00:23:20 s22154214 sshd[3127]: Server listening on 0.0.0.0 port 22.
Jul  9 00:23:20 s22154214 sshd[3127]: Server listening on :: port 22.
Jul  9 00:23:23 s22154214 sshd[3128]: fatal: ssh_sandbox_child: setrlimit(RLIMIT_FSIZE, { 0, 0 }): Function not implemented [preauth]
Jul  9 00:23:44 s22154214 sshd[3131]: fatal: ssh_sandbox_child: setrlimit(RLIMIT_FSIZE, { 0, 0 }): Function not implemented [preauth]
Jul  9 00:23:48 s22154214 sshd[3127]: Received signal 15; terminating.
Jul  9 00:23:48 s22154214 sshd[3137]: Server listening on 0.0.0.0 port 22.
Jul  9 00:23:48 s22154214 sshd[3137]: Server listening on :: port 22.
Jul  9 00:23:52 s22154214 sshd[3138]: fatal: ssh_sandbox_child: setrlimit(RLIMIT_FSIZE, { 0, 0 }): Function not implemented [preauth]

rodinux

Membre

Lieu : Ardèche

Distrib. : Debian Bookworm

Noyau : Linux 6.1.0-14-amd64

(G)UI : Gnome

Inscription : 29-05-2014

Site Web

Re : [Résolu] [Upgrade vers Buster] Impossible de me connecter en ssh

Tu as peut-être un soucis lié au fichier sshd:
https://www.debian.org/releases/stable/ … ml#idm1264

Peut-être essayer cette commande (si tu peux...)

dpkg-reconfigure openssh-server

Sinon, il y a peut-être cette piste aussi qui peut t'aider ?
OpenSSH 7.5+ broken in lx brand, on dirait qu'il y a un soucis de kernel...

Dernière modification par rodinux (08-07-2019 23:42:02)

---

La vie, ce n'est pas d'attendre que l'orage passe, c'est de danser sous la pluie...

Ophrys

Membre

Inscription : 08-07-2019

Re : [Résolu] [Upgrade vers Buster] Impossible de me connecter en ssh

J'ai essayé, mais sans succès. Y compris après avoir fait un rm /etc/ssh/ssh_host_*

Pendant que tu postais ta réponse, j'ai fait un post (ci-dessus) avec des logs peut-être utiles ?

Dernière modification par Ophrys (08-07-2019 23:33:45)

Ophrys

Membre

Inscription : 08-07-2019

Re : [Résolu] [Upgrade vers Buster] Impossible de me connecter en ssh

Sinon, il y a peut-être cette piste aussi qui peut t'aider ?
OpenSSH 7.5+ broken in lx brand, on dirait qu'il y a un soucis de kernel...

J'avais essayé également la piste proposée sur ce lien (ajout de UsePrivilegeSeparation yes dans sshd_config), mais sans succès.

# tail /var/log/auth.log
Jul  9 00:55:20 s22154214 sshd[4802]: rexec line 123: Deprecated option UsePrivilegeSeparation
Jul  9 00:55:21 s22154214 sshd[4802]: fatal: ssh_sandbox_child: setrlimit(RLIMIT_FSIZE, { 0, 0 }): Function not implemented [preauth]

rodinux

Membre

Lieu : Ardèche

Distrib. : Debian Bookworm

Noyau : Linux 6.1.0-14-amd64

(G)UI : Gnome

Inscription : 29-05-2014

Site Web

Re : [Résolu] [Upgrade vers Buster] Impossible de me connecter en ssh

En fait tu as trouvé les mêmes pistes que moi... Tu as peut-être écrasé une certificat d'authentification ssh sur ton serveur ?
Est-ce que tu as vu cette indication: Augmentation de la version par défaut et du niveau de sécurité d'OpenSSL

---

La vie, ce n'est pas d'attendre que l'orage passe, c'est de danser sous la pluie...

Ophrys

Membre

Inscription : 08-07-2019

Re : [Résolu] [Upgrade vers Buster] Impossible de me connecter en ssh

En fait tu as trouvé les mêmes pistes que moi... Tu as peut-être écrasé une certificat d'authentification ssh sur ton serveur ?

Je pensais qu'une connexion par mot de passe ne faisait intervenir aucun certificat... juste des clés. Du coup, je suis un peu perdu.

Comment savoir si j'ai besoin d'un certificat, si je l'ai écrasé, et comment en générer un nouveau ?

Est-ce que tu as vu cette indication: Augmentation de la version par défaut et du niveau de sécurité d'OpenSSL

Je pensais que le protocole ssh et OpenSSL n'avaient rien à voir.

Sur ces deux points, je vais avoir besoin que tu me guides.

Dernière modification par Ophrys (09-07-2019 00:12:52)

rodinux

Membre

Lieu : Ardèche

Distrib. : Debian Bookworm

Noyau : Linux 6.1.0-14-amd64

(G)UI : Gnome

Inscription : 29-05-2014

Site Web

Re : [Résolu] [Upgrade vers Buster] Impossible de me connecter en ssh

Peut-être après avoir lu ceci: Deprecated options when restarting openssh in Stretch, tu peux essayer cela:

sed -i '/UsePrivilegeSeparation/d' /etc/ssh/sshd_config

et

systemctl restart sshd

---

La vie, ce n'est pas d'attendre que l'orage passe, c'est de danser sous la pluie...

rodinux

Membre

Lieu : Ardèche

Distrib. : Debian Bookworm

Noyau : Linux 6.1.0-14-amd64

(G)UI : Gnome

Inscription : 29-05-2014

Site Web

Re : [Résolu] [Upgrade vers Buster] Impossible de me connecter en ssh

Je ne suis pas encore assez expert pour être très clair, j'ai trouvé cette page qui explique assez bien les interactions entre ssh et ssl: C'est quoi SSL, SSH, HTTPS ?
mais si tu as une version 7.4 de openssh, la solution est celle plus haut d'enlever supprimer UsePrivilegeSeparation, il me semble...
Peut-être même les autres configurations deprecated.

Je tâtonne comme toi pour essayer de t'aider...

Dernière modification par rodinux (09-07-2019 00:34:06)

---

La vie, ce n'est pas d'attendre que l'orage passe, c'est de danser sous la pluie...

Ophrys

Membre

Inscription : 08-07-2019

Re : [Résolu] [Upgrade vers Buster] Impossible de me connecter en ssh

La commande sed ne pourra malheureusement pas m'aider, car l'option UsePrivilegeSeparation ne figure pas dans mon sshd_config.
En fait, j'ai essayé soit de garder mon ancien sshd_config, soit de le remplacer par la version fournie avec le nouveau package (donc sans ligne deprecated). Echec dans les deux cas.

Merci pour la lecture sur les interations entre ssl et ssh que j'ai lue en détail.

J'ai essayé de faire un apt-mark hold sur openssl et openssh-server avant la mise à jour : ça ne règle rien.

Ensuite, j'ai essayé de repérer quelle mise à jour de package est à l'origine du problème. Comme le problème se produit dès la mise à jour des premiers packages, j'ai fait un test.

Avant la commande ci-dessous, je peux me connecter en ssh. Après la commande, impossible.

# apt-get install --only-upgrade locales 
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following additional packages will be installed:
  libc-bin libc-dev-bin libc6 libc6-dev
Suggested packages:
  glibc-doc manpages-dev
Recommended packages:
  manpages manpages-dev libidn2-0
The following packages will be upgraded:
  libc-bin libc-dev-bin libc6 libc6-dev locales
5 upgraded, 0 newly installed, 0 to remove and 238 not upgraded.
Need to get 10.7 MB of archives.
After this operation, 12.3 MB of additional disk space will be used.
Do you want to continue? [Y/n]
Get:1 http://ftp.fr.debian.org/debian buster/main amd64 libc-dev-bin amd64 2.28-10 [275 kB]
Get:2 http://ftp.fr.debian.org/debian buster/main amd64 libc6-dev amd64 2.28-10 [2691 kB]
30% [Working]debug2: channel 0: window 999390 sent adjust 49186
Get:3 http://ftp.fr.debian.org/debian buster/main amd64 locales all 2.28-10 [4060 kB]
Get:4 http://ftp.fr.debian.org/debian buster/main amd64 libc6 amd64 2.28-10 [2867 kB]
Get:5 http://ftp.fr.debian.org/debian buster/main amd64 libc-bin amd64 2.28-10 [789 kB]
Fetched 10.7 MB in 1s (6302 kB/s)
Preconfiguring packages ...
(Reading database ... 19926 files and directories currently installed.)
Preparing to unpack .../libc-dev-bin_2.28-10_amd64.deb ...
Unpacking libc-dev-bin (2.28-10) over (2.24-11+deb9u4) ...
Preparing to unpack .../libc6-dev_2.28-10_amd64.deb ...
Unpacking libc6-dev:amd64 (2.28-10) over (2.24-11+deb9u4) ...
Preparing to unpack .../locales_2.28-10_all.deb ...
Unpacking locales (2.28-10) over (2.24-11+deb9u4) ...
Preparing to unpack .../libc6_2.28-10_amd64.deb ...
Checking for services that may need to be restarted...
Checking init scripts...
Unpacking libc6:amd64 (2.28-10) over (2.24-11+deb9u4) ...
Setting up libc6:amd64 (2.28-10) ...
Installing new version of config file /etc/ld.so.conf.d/x86_64-linux-gnu.conf ...
Checking for services that may need to be restarted...
Checking init scripts...

Restarting services possibly affected by the upgrade:
  cron: restarting...done.

Services restarted successfully.
(Reading database ... 19994 files and directories currently installed.)
Preparing to unpack .../libc-bin_2.28-10_amd64.deb ...
Unpacking libc-bin (2.28-10) over (2.24-11+deb9u4) ...
Setting up libc-bin (2.28-10) ...
Updating /etc/nsswitch.conf to current default.
Setting up libc-dev-bin (2.28-10) ...
Setting up libc6-dev:amd64 (2.28-10) ...
Setting up locales (2.28-10) ...
Installing new version of config file /etc/locale.alias ...
Generating locales (this might take a while)...
Generation complete.

Ophrys

Membre

Inscription : 08-07-2019

Re : [Résolu] [Upgrade vers Buster] Impossible de me connecter en ssh

J'ai trouvé l'origine du problème. La machine virtuelle tournait sur une (trop) ancienne version de Virtuozzo. J'imagine que le nouveau système ne pouvait pas adresser les appels nécessaires... ? (À vrai dire j'ignore pourquoi une VM doit évoluer pour suivre les versions d'un OS. J'imagine que Debian 10 tournerait sans problème sur du hardware un peu ancien...?)

J'ai donc résilié le contrat puis en ai ouvert un nouveau qui utilise, lui, une version à jour de vmware. Après ça, la mise à jour de Stretch vers Buster s'est effectuée sans problème.

Désolé du coup, je ne me doutais pas que la version de la VM pouvait causer ce genre de problème.

Merci beaucoup pour votre aide !

Dernière modification par Ophrys (13-07-2019 14:46:06)