Úvod
Vzdálený počítač zabránil připojení SSH, které jste se pokoušeli vytvořit nebo udržovat. Zpráva „ssh_exchange_identification:read:Connection reset by peer“ není dostatečně konkrétní, aby okamžitě vysvětlila, co chybu spustilo.
Abychom mohli problém úspěšně vyřešit, musíme nejprve zjistit jeho příčinu. Tento článek poskytuje hloubkovou analýzu pravděpodobných příčin a poskytuje nejúčinnější řešení.
Přečtením tohoto návodu se dozvíte, jak opravit chybu „ssh_exchange_identification:read:Connection reset by peer“.
Předpoklady
- Potřebná oprávnění pro přístup ke vzdálenému serveru
- Uživatelský účet s uživatelem root nebo sudo privilegia
Co způsobuje chybu SSH „Resetování připojení peer“?
Chyba „ssh_exchange_identification:read:Connection reset by peer“ označuje, že vzdálený počítač náhle uzavřel stream Transition Control Protocol (TCP). Ve většině případů může dočasný výpadek nebo problém s připojením vyřešit rychlý restart vzdáleného serveru.
Naučíte-li se tento problém řešit a určíte základní příčinu, pomůže vám to předejít budoucím výskytům ve vašem systému. Nejběžnější příčiny chyby „ssh_exchange_identification:read:Connection reset by peer“ jsou:
- Připojení je blokováno kvůli seznamům řízení přístupu podle hostitele.
- Software pro prevenci narušení blokuje vaši IP tím, že aktualizuje pravidla brány firewall (Fail2ban, DenyHosts atd.).
- Změny konfiguračního souboru démona SSH.
Zkontrolujte soubor hosts.deny a hosts.allow
hosts.deny a hosts.allow soubory jsou obaly TCP. Jako bezpečnostní funkce se tyto soubory používají k omezení toho, která IP adresa nebo název hostitele může navázat připojení ke vzdálenému počítači.
Jak upravit soubor hosts.deny
Přejděte na svůj vzdálený server a otevřete hosts.deny soubor pomocí preferovaného textového editoru. Pokud používáte nano na systému založeném na Debianu zadejte následující příkaz:
sudo nano /etc/hosts.denyPrázdné řádky a řádky začínající symbolem „#“ jsou komentáře. Zkontrolujte, zda v souboru můžete najít svou místní IP adresu nebo název hostitele. Pokud je přítomen, měl by být odstraněn nebo zakomentován, jinak vám brání v navázání vzdáleného připojení.
Po provedení nezbytných změn soubor uložte a ukončete. Pokuste se znovu připojit přes SSH.
Jak upravit soubor hosts.allow
Jako další preventivní opatření upravte soubor hosts.allow soubor. Pravidla přístupu v rámci hosts.allow se aplikují jako první. Mají přednost před pravidly uvedenými v hosts.deny soubor. Pro přístup k hosts.allow zadejte následující příkaz soubor:
sudo nano /etc/hosts.allowPřidání názvů hostitelů a IP adres do souboru definuje výjimky z nastavení v hosts.deny soubor.
Například přísná bezpečnostní politika v rámci etc/hosts.deny soubor, odepřel by přístup všem hostitelům:
sshd : ALL
ALL : ALLNásledně můžete do souboru etc/hosts.allow přidat jednu IP adresu, rozsah IP adres nebo název hostitele. Přidáním následujícího řádku bude povoleno navázat spojení SSH s vaším vzdáleným serverem pouze následující IP:
sshd : 10.10.0.5, LOCALMějte na paměti, že takové omezující nastavení zabezpečení může ovlivnit možnosti správy na vašich vzdálených serverech.
Zkontrolujte, zda fail2ban zakázal vaši IP adresu
Pokud jste se pokusili připojit vícekrát, vaše IP může být blokována softwarem pro prevenci narušení. Fail2ban je služba navržená tak, aby vás chránila před útoky hrubou silou a může vaše pokusy o ověření nesprávně interpretovat jako útok.
Fail2ban monitoruje a dynamicky mění pravidla brány firewall, aby zakázal IP adresy, které vykazují podezřelé chování. Sleduje protokoly, jako je hosts.deny a hosts.allow soubory, které jsme dříve upravovali.
V našem příkladu jsme použili následující příkaz ke kontrole, zda nástroj iptables odmítá vaše pokusy o připojení:
sudo iptables -L --line-numberVýstup v okně vašeho terminálu bude obsahovat seznam všech pokusů o ověření. Pokud zjistíte, že firewall skutečně brání vašemu připojení SSH, můžete svou IP přidat na bílou listinu pomocí fail2ban. V opačném případě bude služba nepřetržitě blokovat všechny budoucí pokusy. Pro přístup ke konfiguračnímu souboru fail2ban zadejte následující příkaz:
sudo nano /etc/fail2ban/jail.conf
Upravte soubor zrušením komentáře na řádku, který obsahuje "ignoreip =" přidejte IP nebo rozsah IP, který chcete přidat na bílou listinu.
Fail2ban nyní udělá výjimku a nebude hlásit podezřelé chování pro danou IP.
Zkontrolujte soubor sshd_config
Pokud se i nadále objevuje chyba „ssh_exchange_identification:read:Connection reset by peer“, prohlédněte si záznam protokolu ověřování. Ve výchozím nastavení posílá démon SSH protokolovací informace do systémových protokolů. Přejděte na /var/log/auth.log po neúspěšném pokusu o přihlášení. Chcete-li zkontrolovat nejnovější položky protokolu, zadejte:
tail -f /var/log/auth.logVýstup představuje výsledky vašich pokusů o ověření, informace o vašem uživatelském účtu, ověřovacím klíči nebo heslu.
Protokol vám poskytuje informace, které vám mohou pomoci najít možné problémy v konfiguračním souboru sshd sshd_config. Jakékoli změny provedené v souboru mohou ovlivnit podmínky, za kterých je navázáno připojení ssh, a způsobit, že vzdálený server bude klienta považovat za nekompatibilního. Pro přístup k sshd_config typ souboru:
sudo nano /etc/ssh/sshd_configKonfigurační soubor sshd vám umožňuje změnit základní nastavení, jako je výchozí port TCP nebo páry klíčů SSH pro ověřování, stejně jako pokročilejší funkce, jako je předávání portů.
Například MaxStartups proměnná definuje, kolik připojení systém přijme v předem definovaném období. Pokud máte systém, který vytváří velký počet připojení v krátkém časovém rámci, může být nutné zvýšit výchozí hodnoty této proměnné. V opačném případě může vzdálený systém odmítnout další pokusy o připojení ssh.
Kdykoli upravíte sshd_config restartujte službu sshd, aby se změny projevily:
service sshd restartUpravujte pouze proměnné, které znáte. Server se může stát nedostupným v důsledku chybného konfiguračního souboru.