5 votos

woodchip avatar

Hizo Mojave romper SSH login?

Preguntado el 10 de Abril, 2019
Cuando se hizo la pregunta
221 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Abierta
Estado actual de la pregunta

Espero que alguien me puede ayudar a solucionar este ssh login problema. En mi casa LAN, desarrollo de sitios web y de configurar mi router para reenviar externo SSH llamadas a mi portátil desde este puerto externo.

Así que si estoy conectado en el equipo de un cliente me gustaría ssh o scp

$ ssh -p 7219 sam@mycomcastip

lo que ha funcionado bien hasta hace un par de semanas cuando he actualizado a la de Mojave. Ahora los tiempos de conexión. He aquí mis pasos para aislar el problema:

$ ssh -p 7220 sam@mycomcastip

funciona porque mi puerto del enrutador reenvía como el puerto 22 para un mayor funcionamiento de la máquina de la Alta Sierra. Tal vez mi router es metido la pata? Lo pensé, lo he instalado OpenWRT en ella (que es muy bueno, hasta ahora) y no puedo ssh en el portátil desde el exterior como pude antes.

Tal vez Comcast está bloqueando el puerto 7219? Si fue, sería bloqueando el puerto 7220 y no lo bloquean. Cambiar el puerto hacia adelante a otro puerto no funciona con el mismo tiempo de espera.

Quizás es mi demonio SSH que metía la pata? Cambiar el puerto de avance de la ruta a la computadora portátil del puerto 80 (que ha ejecutando Apache), en lugar de 22 rendimientos ninguna diferencia en el resultado.

Puedo confirmar que dentro de mi LAN puedo SSH en este portátil sin problemas. Que me asegura que la computadora portátil del demonio ssh se está ejecutando. No tengo problemas en ssh de la máquina.

Puedo confirmar que el router no está haciendo el bloqueo porque puedo ejecutar tcpdump en el router busca de este puerto y que lo recibe y se lo pasa.

Me he quedado tcpdump en este portátil y el examen de los PCAP en Wireshark puedo ver el paquete que viene en en el puerto 22 y los intentos posteriores por el operador remoto a intentar la conexión, pero no he encontrado el tutorial sobre el análisis de un paquete para este problema que me ayude a ver lo que podría ser la causa.

41 3.349934 remoteIP 192.168.1.105 TCP 74 45166 → 22 [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSval=1415111467 TSecr=0 WS=512

Tal vez alguien puede arrojar algo de luz sobre lo que esto significa?

He intentado instalar de Mojave en otro equipo para ver si es un Mojave problema, pero todos los demás de la máquina es demasiado viejo para correr, así que soy incapaz de aislar que es el hardware o el software de este equipo. Hablando de lo cual, este comportamiento se produce cuando estoy en ruta a la computadora portátil a través del wireless y Ethernet/Thunderbolt de la computadora portátil que sugiero que si es de hardware, no es el de redes de puertos causando el problema.

Desde las reglas de reenvío de puerto son los mismos, excepto los puertos de origen y destino, yo estoy inclinado a pensar que algo ha cambiado en Mojave, ya que es el único cambio que he de recordar que he hecho a la laptop cuando esta capacidad se rompió.

Buscando en internet, he encontrado el más cercano que sugiere que Apple ha cerrado algunas de las carpetas a los usuarios remotos. Excepto como este cartel determina, SSH recibe alrededor de este bloque, por lo que no puede ser.

https://www.sentinelone.com/blog/mojaves-security-hardening-user-protections-bypassed/

He descubierto un clon de esta máquina en la Alta Sierra antes he actualizado a la de Mojave. Se ejecuta fuera de ese clon, el comportamiento esperado se produce. Ejecución de tcpdump en este portátil puedo ver el TCP pasa a través del router, este portátil desde el servidor remoto y puedo ver que mi portátil es de ACK en cambio, que confirma lo que yo vi cuando me SSH remoto. Que parece eliminar esa es mi firewall en el router que es el bloqueo de cualquiera de estos extraños puertos para este portátil. Que los puntos más probable que Mojave está bloqueando el puerto 22 de fuera de su subred.

Puedo mostrar tapa de pantalla que muestra este Mojave firewall está desactivado si importante.

Por eso les pido aquí, en lugar de otro foro de networking, ya que parece ser sólo el de Mojave OSX máquina que está rechazando el puerto 22. ¿Qué otros pasos de solución de problemas debería probar?

Preguntado el 10 de Abril, 2019 por woodchip

Respuestas

¿Demasiados anuncios?

5voto

slm avatar
slm Puntos 118

1. La clave SSH longitud en bits

Es su clave SSH bits de longitud > 2048? Usted puede usar este comando para confirmar.

$ ssh-keygen -lf ~/.ssh/id_rsa.pub
4096 SHA256:0f7e9153ec1edf81c224fec24c76d3ab1be7010e joeuser@dom.com (RSA)

Si es menos de macOS se niegan a permitir.

2. Suite De Cifrado De Apoyo

También debe investigar desde el cliente donde se está ejecutando SSH que cipher suites están siendo presentado a su ordenador portátil del servidor SSH. Usted puede hacer esto utilizando ssh -vvvv .... para ver qué sistemas de cifrado están disponibles en el cliente como:

$ ssh -Q cipher
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
rijndael-cbc@lysator.liu.se
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com

Usted también querrá investigar varios otros componentes de la suite de cifrado.

El hombre de la página de detalles en -Q así:

 -Q query_option
         Queries ssh for the algorithms supported for the specified version 2.  The available features
         are: cipher (supported symmetric ciphers), cipher-auth (supported symmetric ciphers that sup-
         port authenticated encryption), mac (supported message integrity codes), kex (key exchange
         algorithms), key (key types), key-cert (certificate key types), key-plain (non-certificate
         key types), and protocol-version (supported SSH protocol versions).

3. IPQoS

Se han recibido informes de nuevas versiones de OpenSSH relativas a problemas de conectividad. He encontrado estos ejemplos:

La solución requiere la adición de la siguiente a su ~/.ssh/config:

$ cat ~/.ssh/config
...
...
Host *
  IPQoS throughput

He visto variaciones de este modo puede que tenga que probar low en lugar de throughput. Puede consulta la man ssh_config para más detalles, aquí está el extracto de esa opción:

 IPQoS   Specifies the IPv4 type-of-service or DSCP class for connections.  Accepted values are af11,
         af12, af13, af21, af22, af23, af31, af32, af33, af41, af42, af43, cs0, cs1, cs2, cs3, cs4,
         cs5, cs6, cs7, ef, lowdelay, throughput, reliability, a numeric value, or none to use the
         operating system default.  This option may take one or two arguments, separated by white-
         space.  If one argument is specified, it is used as the packet class unconditionally.  If two
         values are specified, the first is automatically selected for interactive sessions and the
         second for non-interactive sessions.  The default is af21 (Low-Latency Data) for interactive
         sessions and cs1 (Lower Effort) for non-interactive sessions.

Por supuesto, usted puede pasar a través de la CLI como así:

$ ssh -o IPQoS=throughput joeuser@192.168.1.1

Si encuentra que usted no está teniendo suerte con las anteriores puede que desee probar este formulario en su lugar:

Host *
     IPQoS lowdelay throughput

Varios hilos de mencionar que esta forma de trabajar tan bien.

Referencias

Respondido el 11 de Abril, 2019 por slm (118 Puntos )

1voto

Douglas avatar
Douglas Puntos 10417

Hay una afirmación clave en su pregunta que salta:

Puedo confirmar que dentro de mi LAN puedo SSH en este portátil sin problemas. Que me asegura que la computadora portátil del demonio ssh se está ejecutando. Yo no tienen problemas para ssh de la máquina.

Esto confirma que no puede ser un Mojave problema. Mojave está aceptando conexiones SSH. Sin embargo, eso no descarta otros servicios que se ejecutan en la máquina de Mojave.

Las pruebas con tcpdump y la creación de un equipo diferente con reglas de reenvío de puerto confirma que no es el router.

Tu comentario re: se ejecuta en Modo Seguro condujo a que el software de cliente de VPN que parecía ser el culpable.

VPN software (por configuración) puede redefinir la puerta de entrada para el tráfico. Basado en lo que he descrito, suena como de tránsito obligado para el puerto 22 correctamente se reenvían, pero el software de VPN fue de responder a través de la puerta de enlace VPN, no de nuevo al router, por lo tanto el tiempo de espera.

Respondido el 17 de Abril, 2019 por Douglas (10417 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X