Debian을 Buster로 업그레이드한 후, 이전에 "신뢰할 수 있는 컴퓨터"에서 로그인하지 않았다면 서버에 SSH를 통해 연결할 수 없습니다.

Debian을 Buster로 업그레이드한 후, 이전에 "신뢰할 수 있는 컴퓨터"에서 로그인하지 않았다면 서버에 SSH를 통해 연결할 수 없습니다.

방금 Debian 서버를 Stretch(안정)에서 Buster(테스트)로 업그레이드했습니다.

해결할 수 없는 이상한 점이 하나 있습니다.

$ ssh [email protected] -p [censored] -o ConnectTimeout=5 -i /home/vlastimil/.ssh/id_rsa -vvv

결과 :

OpenSSH_7.6p1 Ubuntu-4, OpenSSL 1.0.2n  7 Dec 2017
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: resolving "192.168.0.102" port [censored]
debug2: ssh_connect_direct: needpriv 0
debug1: Connecting to 192.168.0.102 [192.168.0.102] port [censored].
debug2: fd 3 setting O_NONBLOCK
debug1: connect to address 192.168.0.102 port [censored]: Connection refused

ssh: connect to host 192.168.0.102 port [censored]: Connection refused


그러나 해당 사용자로 로컬로 로그인하면(로그아웃할 수도 있고 한 번의 로그인만 필요함) 작동합니다.

루트로 로그인할 수 있습니다. 그러나 공개 키 교환은 하나의 시스템에서만 수행할 수 있습니다.

또한 해당 컴퓨터에서 루트로 한 번만 로그인하면 다른 컴퓨터에서 루트로 로그인할 수 있습니다.

이 문제를 디버깅하는 방법을 자세히 설명할 수 있는 사람이 있습니까?


서버 구성:

# grep -v '#' /etc/ssh/sshd_config

Port [censored]
Protocol 2
SyslogFacility AUTH
LogLevel INFO
LoginGraceTime 120
StrictModes yes
HostbasedAuthentication no
IgnoreRhosts yes
PermitEmptyPasswords no
ChallengeResponseAuthentication no
UsePAM yes
X11Forwarding yes
PrintMotd no
PrintLastLog no
Banner none
AcceptEnv LANG LC_*
Subsystem   sftp    /usr/lib/openssh/sftp-server
KeyRegenerationInterval 3600
ServerKeyBits 4096
Ciphers [email protected],[email protected]
MACs [email protected]
KexAlgorithms [email protected]
FingerprintHash sha512
Match Address 192.168.0.*
    PermitRootLogin yes
Match all
    PermitRootLogin no

답변1

감사해요통신회사~의답변하드웨어 RNG와 관련하여 하나를 만들고 apt search패키지를 찾아 rng-tools5설치했습니다.

sudo apt-get install rng-tools5

이로 인해 Intel NUC의 문제가 해결되었습니다.


편집자 주: Xeon CPU를 사용하는 Dell PowerEdge T20에서 발생한 문제도 해결되었습니다.

추가 참고 사항:

  • 패키지를 설치한 후 임의의 소스를 확인하십시오.

    rngd -v
    

    제 경우에는 TPM 장치가 없지만 CPU는 rdrand다음을 수행할 수 있습니다.

    Unable to open file: /dev/tpm0
    Available entropy sources:
        DRNG
    

답변2

connection refusedsshd실행되고 있지 않음 을 나타냅니다 .

아마도 시간 문제일 것입니다. 로그인 프롬프트가 콘솔에 나타날 때 모든 시스템 서비스의 시작이 완료되었다는 보장은 없습니다.

sshd/dev/[u]random특히 시스템이 네트워크 트래픽이 거의 없는 세그먼트에 있는 경우 대기 상태에 걸릴 수도 있습니다 . 이 경우 시스템에서 사용할 수 있는 실제 무작위성의 소스는 거의 없으며 초기에 커널의 난수 생성기를 시드할 만큼 충분한 실제 무작위 비트를 수집하기가 어렵습니다. 시스템 콘솔에 로그인하면 키보드 인터럽트 호출 타이밍에서 가장 낮은 비트 형태로 임의성이 제공됩니다. 시스템에 어떤 형태로든 하드웨어 RNG가 있는 경우 이를 활성화하면 이 문제가 해결될 수 있습니다.

진단하려면 실제로 로그인하지 않고 콘솔 로그인 프롬프트에 말도 안되는 몇 줄을 입력하면 됩니다. 이후 응답이 정상 이면 sshd커널에 무작위성이 부족하고 커널 RNG를 시드할 수 없어 시작이 sshd지연될 수 있습니다.

또는 로그인 관련 프로세스가 처음 시작될 때만 시작되도록 허용하는 일종의 systemd종속성 버그 일 수도 있습니다. sshd이것이 Debian Buster가 여전히 배포판인 이유 중 하나입니다 testing. 이것이 이유라면 버그 보고서를 보내주세요.

답변3

이 패키지는 이 문제를 해결했습니다.

실: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=912087

관련 정보