10:13 

Что бы вы подумали, получив...

... permisson denied (public key) при попытке подключиться к серверу через SSH после недельного отсутствия на рабочем месте? Вот-вот, это самое и :).

Отключаем сеть, грузимся с физ. консоли меняем пароли, отключаем SSH на внешнем интерфейсе, начинаем копаться. В логах них...фига, даже попытки коннекта не пишутся. authorized_keys на месте, права на нем родные (400, ага), mtime - показывает, что последнее изменение было год назад, содержимое в порядке. sshd_config - на месте, последнее изменение тогда же, содержимое сравниваем с rcs-копией с backup'а - все ok. ps -ax -показывает, что sshd запускается именно что с моим конфигом. Хм. Странно. Может, sshd не тот? Запускаем ручками sshd -f /etc/ssh/sshd_config - та же фигня. Мндя. Сталбыть, sshd подменили. Гм. diff говорит, что sshd из хост-системы совпадает с sshd из jail'а, в который я через ssh захожу (Кстати, уж если что и могли сломать, так этот самый jail, в котором apache+mysql вертится), пусть и с другим ключом. Странно, но возможно, в принципе. Собираю sshd на отдельной машине, приношу, ставлю (Не, я знаю, что по уму надо бы makeworld/kernel сделать, /usr/obj притащить и поставить грузанувшись с болванки - но не в рабочее же время на "боевом" сервере!) - та же фигня. Гм. Ну так же не бывает!!!
Л-ладно. sshd -df /etc/ssh/sshd_config, цепляемся... и нифига интересного в логах. Логинимся локально... упс! ipython, установленный в качестве шелла для учетки, говорит, что у него беда с конфигом, генерит дефолтовый и дохнет! Неужели?!? Меняю шелл на tcsh, логинюсь - нормально. Цепляюсь удаленно - отлуп. Что еще изобрести? А! Отключаю аутентификацию по ключу, вробаю challenge-response + PAM, логинюсь! вау! Работает, но ssh -v, в самом конце пишет, что, мол, cannot chroot to a directory <...>. Ы?! Логинюсь, делаю chroot <...> - и впрямь, cannot. WTF?! Смотрю внимательней - блиииин! Permissions на homedir вместо 755 - 650! Я ж не так давно с ftp игрался, соответственно права на каталоги правил, а ssh-соединение с рабочей машинки до сервака висело... ну, месяца два висело без перезапуска, вот и. Не совсем правда понятно, нахрена sshd читать содержимое каталога, если путь до ~/.ssh/authorized_keys прописан в sshd_config'е и darkroom вполне читается - однако-ж вот.
Мнда. Осталось придумать, что сделать с м-мммм.... произведенными в процессе всех этих плясок-с-бубном кирпичами, и вот оно, Щастьё!

@темы: FreeBSD, Работа

URL
Комментарии
2011-12-15 в 00:17 

Pixi
фор-леди
А я вот купила противотанковый гранатомёт в скверном состоянии :nail:

   

Танец-с-саблями на граблях

главная