मैं SSH को दूरस्थ सर्वर से आकस्मिक रूप से मना करता हूं ... आगे क्या है?

61

आइए इसे फिर से कहें, हम सभी गलतियां करते हैं , और मैंने सिर्फ एक ही किया है।

एक संक्षिप्त इतिहास: मैं एक VPS (डेबियन) पर कुछ सामान कर रहा था, जब मैं कुछ अजीब व्यवहार पर ध्यान दे रहा था। netstatकमांड का उपयोग करके मैंने SSH के माध्यम से एक गैर-अधिकृत कनेक्शन देखा। मुझे नहीं पता था कि मुझे क्या करना है, इसलिए मैंने उसका उपयोग बंद करने का निर्णय लिया iptables:

iptables -A INPUT -p tcp --dport ssh -s IP -j DROP

लेकिन मैं थक गया हूं, और मैंने लिखा है

iptables -A INPUT -p tcp --dport ssh -j DROP

और मैंने खुद को (और सभी को) बाहर निकाल दिया ...

मैं यह कैसे तय करुं?

— tomatoGuy
स्रोत

संभव डुप्लिकेट क्या यह संभव है कि SSH एक गलत सबनेट वाले सर्वर तक पहुंच सके?

— कास्परड

1

नहीं, क्योंकि वह मशीन पर सभी ssh पैकेट को रोक रहा है। एक गलत सबनेट पर, आप बस उस मैक पते के लिए tcpdump करेंगे, फिर उस सब-इन पर सबनेट को प्राप्त करें जो उसी सबनेट पर वर्चुअल निक को कॉन्फ़िगर करता है और उससे बात करता है।

— जेफाल्कन उर्फ डॉन फैनिंग 22:52

50

ठीक है, आपने निश्चित रूप से अनधिकृत व्यक्ति के लिए कम से कम पहुंच को हटा दिया।

— एक CVn

2

अगली बार, शायद एक मरे हुए आदमी का स्विच काम आएगा।

— वेन कॉनराड

2

आपका मेजबान कौन है? बहुत सारे वीएम होस्ट एक सीरियल कंसोल प्रदान करते हैं जो आपको उन मामलों में एसएसएच देता है जहां आप दूरस्थ स्थान से असमर्थ हैं।

— जॉन

60

कई विकल्प हैं:

देखें कि क्या उनके पास IPMI / "KVM" / कंसोल का उपयोग सर्वर है जो आपको इसे नियंत्रित करने देता है जैसे कि आपके पास भौतिक कीबोर्ड था।
यदि वे ऐसा नहीं करते हैं, तो देखें कि क्या आप वीएम को एक रिकवरी लाइन सीडी (कुछ प्रदाता इस प्रस्ताव को) बूट कर सकते हैं और फिर फ़ायरवॉल नियमों को ठीक कर सकते हैं और फिर इसे सामान्य की तरह बूट कर सकते हैं।
यदि आपके पास कंसोल एक्सेस नहीं है, तो इससे पहले कि आप पुनर्प्राप्त करने के लिए बूट करें या वॉल्यूम को दूसरे वीएम में संलग्न करें (जैसा कि अमेज़ॅन मामले में, क्रेडिट उपयोगकर्ता3550767 का जवाब है), आप नियमों को बचाने से पहले Ankh2054 के रिबूटिंग के जवाब की कोशिश कर सकते हैं (यदि नहीं) इससे पहले कि आप को बचाने का मौका दिया गया हो, संभावना है कि आप अपने आप को बाहर निकाल दें। नियंत्रण पैनल का उपयोग करें या किसी को नॉन-ग्रेसफुल रिसेट / पॉवरऑफ (उर्फ हार्ड रिबूट या हार्ड शटडाउन) का उपयोग करके पावर साइकिल से पूछें कि यदि आंसरशीट रीबूटिंग (क्रेडिट @jfalcon, @joshudson) होने पर नियमों को स्वचालित रूप से बचाता है।

इस की कमियां (जैसे कि रिबूट के दौरान लिखे जा रहे डेटा को खो दिया जा सकता है और फाइल सिस्टम जांच की आवश्यकता हो सकती है, ताकि बूट अप समय पर बूट हो सके, हालांकि विलंब से रिकवरी में कमी हो सकती है)।

— g491
स्रोत

1

वीपीएस सर्वर के आधार पर, दूरस्थ पहुंच नहीं हो सकती है जो वह पहुंच सकता है। vmware, kvm, xen, आदि जैसी प्रणालियों में कंसोल हैं, लेकिन सार्वजनिक खपत के लिए सेटअप नहीं हैं। सार्वजनिक नियंत्रण के इस रूप को खोलने की अनुमति देने वाले बंद हैं।

— जेफाल्कन उर्फ डॉन फैनिंग

4

उस ने कहा, अगर यह अमेज़ॅन / गूगल स्पेस में है, तो वह ड्राइव को स्नैपशॉट कर सकता है और इसे ठीक करने के लिए किसी अन्य वर्चुअल मशीन से माउंट कर सकता है।

— जेफाल्कन उर्फ डॉन फैनिंग

47

यदि आपने अभी तक IPtables नियम नहीं सहेजे हैं, तो आप VPS (यदि उपलब्ध हो) पर सर्वर को रीबूट कर सकते हैं और नियम गायब हो जाना चाहिए।

— Ankh2054
स्रोत

जब तक init स्क्रिप्ट शटडाउन के दौरान iptables को बचाता है।

— जेफाल्कन उर्फ डॉन फैनिंग

3

@jfalcon: इसीलिए आप उन्हें वर्चुअल प्लग खींचने के लिए कह सकते हैं।

— जोशसन

22

@jfalcon यही कारण है कि शटडाउन पर ऑटो-सेव करने के लिए यह एक बुरा विचार है ... सेवडस्मिन द्वारा एक सचेत निर्णय लें, न कि सिस्टम द्वारा आँख बंद करके निष्पादित किया गया।

— बजे एक CVn

@ जोशेडसन: आपको रिबूट बंदर को बताना होगा कि वास्तव में क्या करना है और बिजली बंद करना है। सिर्फ एक शटडाउन की शुरुआत नहीं।

— जेफाल्कन उर्फ डॉन फैनिंग

@ माइकलकॉर्जलिंग: यह दर्शन गलत भी है। यह एक VPS है इसलिए संभावना है कि वह अपने अनुप्रयोगों को सैंडबॉक्स कर रहा है और पावर स्विच हिट करने वाले पर उसका कोई नियंत्रण नहीं है। और आपको पता नहीं है कि वीपीएस होस्टिंग ने उनके बिल्ड को कैसे कॉन्फ़िगर किया। शटडाउन पर बचत के साथ कुछ भी गलत नहीं है। उसकी गलती उसकी गलती थी। पहली जगह में स्मार्ट कदम एक गैर-मानक बंदरगाह पर SSH को रखना होगा या एक घबराई हुई प्रतिक्रिया के साथ प्रतिक्रिया करने के बजाय fail2ban का उपयोग करना होगा।

— जेफाल्कन उर्फ डॉन फैनिंग

30

यह मानव-मानव सहायता हेल्प लाइन है। सेवा प्रदाता को कॉल करें, और उनके ऑपरेटरों में से एक आपके लिए नियम को हटा दें।

— RobertG
स्रोत

3

एक टूटी हुई आवृत्ति को ठीक करने का एक सामान्य तरीका यह है कि इसे बंद कर दिया जाए और रूट वॉल्यूम को एक कार्यशील आवृत्ति में संलग्न किया जाए। फिर आप वहां वॉल्यूम बढ़ा सकते हैं और लॉग्स देख सकते हैं या कॉन्फ़िगरेशन फ़ाइलों को संपादित कर सकते हैं। फिर आप वॉल्यूम को अलग कर सकते हैं और इसे अपने उदाहरण में शुरू कर सकते हैं।

— user3550767
स्रोत

2

AWS VPSes के लिए सही; आम तौर पर सच नहीं है।

— MadHatter

@ आधार सही विवरण अलग-अलग हो सकते हैं, लेकिन यदि कोई VPS प्रदाता किसी ज्ञात कार्य छवि के साथ बूट करने की कोई विधि प्रदान नहीं करता है, जहाँ से आप अपनी रूट फ़ाइल प्रणाली को माउंट और ठीक कर सकते हैं, तो मैं उनसे अपेक्षा करूँगा कि वे एक बार ग्राहकों से बाहर जाएं। उस सीमा के बारे में सीखा।

— कैस्परड

आमतौर पर, वे इसे कंसोल एक्सेस की पेशकश करके करते हैं, इसलिए आप एकल-उपयोगकर्ता मोड में, या बचाव मीडिया से बूट कर सकते हैं (आमतौर पर आईएसओ के रूप में सार)। मैं प्रस्तुत करता हूं कि यह वास्तव में इस मुद्दे को संभालने के एडब्ल्यूएस के विषम तरीके से बहुत अधिक सामान्य है, जहां एक दूसरा वीपीएस (अस्थायी रूप से) एक आवश्यकता है।

— मध्याह्न

@MadHatter दोनों में से कौन सा दृष्टिकोण अजीब लगता है, इस बात पर निर्भर करता है कि आप किस चीज़ से सबसे ज्यादा परिचित हैं। और या तो दृष्टिकोण काम हो जाता है। जो सबसे आम है, मैं वास्तव में उस पर टिप्पणी नहीं कर सकता, क्योंकि अब तक मुझे केवल एक ही वीपीएस प्रदाता पर इस तरह की पहुंच की आवश्यकता है।

— कैस्परद

@kasperd: नहीं, जो आप उपयोग करते हैं वह उस पर निर्भर करता है जिस पर दिए गए VPS प्रदाता समर्थन करते हैं; यह पसंद की बात नहीं है। यदि आप AWS का उपयोग कर रहे हैं, तो आप वॉल्यूम को किसी अन्य VPS पर माउंट करते हैं; यदि आप एक अधिक सामान्य VPS प्रदाता का उपयोग कर रहे हैं, तो आप एकल-उपयोगकर्ता या बचाव मीडिया से बूट करते हैं। मैं इस बात को डिक नहीं बनाता (ठीक है, पूरी तरह से नहीं) लेकिन क्योंकि यह सराहना करना महत्वपूर्ण है कि किसी को यह पता लगाना है कि प्रदाता की समर्थित विधि क्या है, तो उनका उपयोग करें। AWS पद्धति का उपयोग करने की कोशिश करते हुए, कहते हैं कि, Hetzner बस काम नहीं करेगा , क्योंकि एक Hetzner vserver दूसरे का FS (afaik) नहीं देख सकता है।

— मैडहेटर

3

औपचारिक उत्तर: वीपीएस प्रबंधन पैनल पर जाएं, स्थानीय एक्सेस (वर्चुअल केवीएम) किसी तरह प्राप्त करें या उन्हें कॉल करें।

फिर से गिरने से रोकने के लिए चरणों / नियमों की व्याख्या:

आईपी, रूटिंग और फ़ायरवॉल नियम परिवर्तन हैं जो खराब हो सकते हैं और आपकी पहुंच को अवरुद्ध कर सकते हैं।
और यह केवल वीपीएस को नहीं, बल्कि समर्पित नेटवर्क डिवाइस कॉन्फ़िगरेशन पर भी लागू होता है

तो जब तक आप 100% यकीन है कि आप किसी के साथ की वसूली कि कर सकते हैं .. मैं हमेशा अपनी पिछली स्थिति में नेटवर्क config पुनर्स्थापित करने के लिए एक रास्ता बनाने के लिए सलाह देते हैं .. की तरह, खुले पृष्ठभूमि सत्र हैं screen, nohupया tmux, यहां तक कि cronइस के लिए काम कर सकते हैं, और जोड़ने iptables -Fया अन्य वांछित साधन पिछली स्थिति में कुछ भी रीसेट करने के लिए।

— kagali-सान
स्रोत