SSH start niet op

Ik heb een probleem op een server waar SSH niet meer op werkt, op zich niet zo ramp ware het niet dat we er momenteel niet bij kunnen. Ik wil wel dat SSH weer bruikbaar is.
Het begon een tijd geleden dat SSH het volgende doorgaf "ssh_exchange_identification: Connection closed by remote host" dit is later ssh "connection refused" geworden.

We benaderen de server nu door op te starten vanaf een rescue disk, we mounten hierna de hd waarop onze gegevens staan wij hebben nu dus toegang met SSH (ander systeem) op onze hd en kunnen overal bij.

Wat heb ik gedaan om het weer aan de gang te krijgen, wel ik heb als eerste gekeken of de .pid file bestond deze bestond dus niet op de locatie /var/run/.
Ik heb de default waardes in de configuratie files terug gezet.
Heb de allow en disallow files nagekeken
Heb in rc.d SSH opgenomen dat deze op moet starten tevens om de eventuele bestaande pid file te deleten. De rc.d heb ik zelf aangemaakt dus weet niet of deze file ook werkt.
Ik heb gekeken of de dirs in de configuratie file bestanden en beschrijfbaar waren.

Ik weet momenteel niet meer waar ik het moet gaan zoeken of wat er fout is gegaan. Ik vind op dit punt belangrijker dat SSH weer beschikbaar komt. Zoals gezegt kunnen we bij elke file op de server.
De server draait SuSE 10.2 x64 met Confixx 3.3.1

blaataaps schreef op vrijdag 05 oktober 2007 @ 14:34:
Wat voor melding geeft ssh als je het op probeert te starten?

Dat is nu juist het probleem dat weten we niet aangezien het via rescue gaat kunnen we wel alle files bekijken en veranderen maar zodra we uit de rescue mode gaan zien wij niet wat er gebeurd met het systeem. De logboeken laten niet zien dat het opgestart wordt.

Alle andere zaken starten wel correct op denk aan Apache, MySQL etc etc

Verwijderd schreef op vrijdag 05 oktober 2007 @ 14:47:
Ik begrijp uit jouw verhaal dat er geen monitor aan die server hangt?

En al in de inhoud van /var/log/messages en /var/log/syslog gekeken?

Ik weet niet of er een monitor aan hangt de server staat niet in dit land en er is niemand anders die er naar kan kijken.

Verwijderd schreef op vrijdag 05 oktober 2007 @ 15:00:
Als het goed is staat er ergens in de bestanden /var/log/messages en /var/log/syslog hoe de laatste keer opstarten vergaan is. Misschien dat hier iets in staat over waarom ssh niet opstart.

Kan ook zijn dat SuSE ergens anders logt, maar heel ergens anders als /var/log kan het niet zijn.

Die lieten niets bezonders zien maar zal ze zo dadelijk nog eens nakijken. Als je tips heb waar ik op dient te letten dan ontarm ik elke tip.

Verwijderd schreef op vrijdag 05 oktober 2007 @ 15:14:
Als je een /etc/init.d/sshd restart geeft zou hij een melding moeten geven.

Ik kan niet bij de server komen lokaal dus kan het niet zien.

_Squatt_ schreef op vrijdag 05 oktober 2007 @ 15:20:
Je kunt ook chrooten naar het gemounte systeem en proberen van daar sshd te starten om te zien wat voor foutmeldingen je krijgt. In het beste geval krijg je een melding dat port 22 al in gebruik is (omdat de sshd van je rescue disk daar draait).

Door de configuratie tijdelijk aan te passen om sshd op een andere port te laten draaien kun je er achter komen waar de werkelijke fout zit. Zodra je sshd draaiend krijgt kun je proberen om lokaal te verbinden (lukt dat, dan ligt het misschien aan je firewall).

Chrooten weet even niet wat dat is maar ga het even een google geven.

Ik heb nu de ssh uit de rpm gegooit maar nu krijg ik openssh niet meer geinstalleerd. Ik heb wel webmin erop gekregen door middel van een cron job. Openssh instaleer niet aangezien er zaken ontbreken.

blaataaps schreef op vrijdag 05 oktober 2007 @ 20:25:
Dan installeer je die "zaken" ook?

Heb ik gedaan en SSH is nu opnieuw geinstalleerd vanuit een rpm uit de 10.2 reposetory. Nu door webmin krijg ik eindelijk de fout te zien waar het omdraait (volgens mij dan).

/var/lib/empty must be owned by root and not group or world-writable
De dir heeft de volgende waardes
drwxrwxrwx 2 root root 4096 Apr 23 2006 empty


Ben al aan het zoeken op internet maar nog niets gevonden (2 min bezig pas).


Even goed zoeken en dan heb je ook wat ik heb de /var/lib/empty ge chmod naar 600 en toen starte alles weer normaal op. Ik heb nu weet SSH tot mijn beschikking.

[ Voor 19% gewijzigd door we_are_borg op 05-10-2007 21:06 ]

Ik heb SSH dus aan de gang maar wordt gelijk uitgelogd als ik inlog. Ik heb een default conf file maar zelfs dat mag niet baten.

[ Voor 80% gewijzigd door we_are_borg op 05-10-2007 21:45 ]

Verwijderd schreef op vrijdag 05 oktober 2007 @ 22:21:
Ik begin het idee te krijgen dat hier meer aan de hand is dan alleen een ssh die niet wil starten. Is bv. je /etc/passwd nog wel goed?

Werkt het misschien om even een nieuwe gebruiker aan te maken en kijken of die wel wil inloggen?

Ik heb een nieuwe user aangemaakt en deze rechten gegeven van root. Maar zelfs deze account heeft het zelfde probleem.

SyS_ErroR schreef op vrijdag 05 oktober 2007 @ 22:28:
T lijkt erop alsof iemand heel /var gechmod heeft naar 777..

_{Dat heb ik zelf ook wel eens gehad...}

Daar stond die dit dus ook op wat ik erg vreemd vond.

Pim. schreef op zaterdag 06 oktober 2007 @ 09:52:
Misschien eens tijd om een chkrootkit te draaien, krijg het gevoel dat je bak niet echt veilig meer is

Dat idee krijg ik ook maar al vind ik een rootkit dan blijft de uitkomst het zelfde de server dient opnieuw geinstalleerd te worden. Gelukkig kunnen we dit op afstand doen.

Heb nu net een chkrootkit gedraait en hier kwam niets uit alles ziet er gewoon uit.

[ Voor 10% gewijzigd door we_are_borg op 06-10-2007 12:31 ]