Buenos días,
Dispongo de una rPi 3B, con Raspbian 10 Buster.
Tengo unos cuantos VirtualHosts en Apache funcionando sin problemas, y el SSH desde un principio. El problema me ha empezado a ocurrir desde hace unos días, comento:
Hay veces que desde mi PC intento conectarme, en red local, a la rPi mediante SSH y no lo consigue, ni me pide login y salta timeout; sin embargo, desde el móvil, conectado por 4G y un cliente SSH, sí puedo conectarme mediante SSH poniendo tanto mi IP pública como la URL de uno de los virtual hosts (lo tengo redirigido en el router). Todos los dispositivos tienen su IP estática.
Aunque el SSH esté así "tonto", sí sigue estando operativo el Apache y el FTP.
Si la reinicio, sí puedo volver a conectarme desde mi PC en red local, hasta que le vuelve a dar el punto y no poder conectarme.
¿Alguna idea de qué puede ser o dónde poder mirar algo al respecto?
Gracias.
Problema con conexión mediante SSH
-
egrueda
- Pi God
- Mensajes: 3426
- Registrado: 10 Feb 2017, 19:31
- Agradecido: 7 veces
- Agradecimiento recibido: 269 veces
Podría ser que la raspi te está bloqueando por algún motivo.
Tienes que mirar, cuando te esté dando el fallo, en el registro del sistema:
/var/log/auth.log
Tienes que mirar, cuando te esté dando el fallo, en el registro del sistema:
/var/log/auth.log
No respondo a privados ;-)
👉 Particiones en una MicroSD
👉 Cómo pedir ayuda en el foro
Invítame a un café
👉 Particiones en una MicroSD
👉 Cómo pedir ayuda en el foro
Invítame a un café
-
javinair
- Pi Newbie
- Mensajes: 6
- Registrado: 03 Abr 2019, 23:52
- Agradecido: 0
- Agradecimiento recibido: 0
Hola @egrueda, gracias por tu pronta respuesta.
Mirando en ese archivo, estoy viendo cosas como esta:
May 5 09:31:34 raspberrypi sshd[1559]: Failed password for root from 112.85.42.189 port 25679 ssh2
May 5 09:31:38 raspberrypi sshd[1559]: Failed password for root from 112.85.42.189 port 25679 ssh2
May 5 09:31:41 raspberrypi sshd[1559]: Failed password for root from 112.85.42.189 port 25679 ssh2
May 5 09:31:43 raspberrypi sshd[1559]: Received disconnect from 112.85.42.189 port 25679:11: [preauth]
May 5 09:31:43 raspberrypi sshd[1559]: Disconnected from authenticating user root 112.85.42.189 port 25679 [preauth]
May 5 09:31:43 raspberrypi sshd[1559]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.85.42.189 user=root
¿Se puede considerar que alguien externo y aburrido está intentando hacer login a mi rPi directamente como root? Porque esa IP no es la mia externa.
Mirando en ese archivo, estoy viendo cosas como esta:
May 5 09:31:34 raspberrypi sshd[1559]: Failed password for root from 112.85.42.189 port 25679 ssh2
May 5 09:31:38 raspberrypi sshd[1559]: Failed password for root from 112.85.42.189 port 25679 ssh2
May 5 09:31:41 raspberrypi sshd[1559]: Failed password for root from 112.85.42.189 port 25679 ssh2
May 5 09:31:43 raspberrypi sshd[1559]: Received disconnect from 112.85.42.189 port 25679:11: [preauth]
May 5 09:31:43 raspberrypi sshd[1559]: Disconnected from authenticating user root 112.85.42.189 port 25679 [preauth]
May 5 09:31:43 raspberrypi sshd[1559]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.85.42.189 user=root
¿Se puede considerar que alguien externo y aburrido está intentando hacer login a mi rPi directamente como root? Porque esa IP no es la mia externa.
-
egrueda
- Pi God
- Mensajes: 3426
- Registrado: 10 Feb 2017, 19:31
- Agradecido: 7 veces
- Agradecimiento recibido: 269 veces
Cualquier dispositivo que expone su puerto 22/SSH a internet recibe cientos o miles de intentos automaticos de acceso
(Por eso, niños, hay que cambiar la password por defecto de la raspi)
No es nada de qué preocuparse, pero puedes plantearte:
1. prohibir el acceso root directo desde ssh (usar sudo)
2. cambiar el número de puerto
3. usar claves SSH y deshabilitar acceso por contraseña
4. instalar fail2ban para bloquear las IPs que intentan acceder por fuerza bruta
Tienes para elegir, jajaja, incluso puedes usar todas las opciones a la vez.
(Por eso, niños, hay que cambiar la password por defecto de la raspi)
No es nada de qué preocuparse, pero puedes plantearte:
1. prohibir el acceso root directo desde ssh (usar sudo)
2. cambiar el número de puerto
3. usar claves SSH y deshabilitar acceso por contraseña
4. instalar fail2ban para bloquear las IPs que intentan acceder por fuerza bruta
Tienes para elegir, jajaja, incluso puedes usar todas las opciones a la vez.
No respondo a privados ;-)
👉 Particiones en una MicroSD
👉 Cómo pedir ayuda en el foro
Invítame a un café
👉 Particiones en una MicroSD
👉 Cómo pedir ayuda en el foro
Invítame a un café
-
egrueda
- Pi God
- Mensajes: 3426
- Registrado: 10 Feb 2017, 19:31
- Agradecido: 7 veces
- Agradecimiento recibido: 269 veces
¡se me olvidaba!
5. Acceder por VPN y sólo aceptar conexiones SSH desde la red local y desde la red de la VPN
5. Acceder por VPN y sólo aceptar conexiones SSH desde la red local y desde la red de la VPN
No respondo a privados ;-)
👉 Particiones en una MicroSD
👉 Cómo pedir ayuda en el foro
Invítame a un café
👉 Particiones en una MicroSD
👉 Cómo pedir ayuda en el foro
Invítame a un café
-
javinair
- Pi Newbie
- Mensajes: 6
- Registrado: 03 Abr 2019, 23:52
- Agradecido: 0
- Agradecimiento recibido: 0
Sobre los puntos que comentas...
1) Todo lo que hago referente a root es mediante sudo, así que no tengo el usuario root habilitado con contraseña para loguearme como tal.
2) Es una opción sencilla, la contemplo.
3) Me parece la más acertada, pero el tema es que actualmente estoy trabajando con VSCode y el plugin que tiene de SSH y no sé cómo le afectaría conectarme con las keys en lugar de contraseña normal.
4) He visto que es fácil y puede resultar efectivo, lo haré.
5) Creo que es sin duda la que mejor control tendrá sobre las conexiones, la pondré en práctica también.
Una vez tenga hechos algunos de los cambios anteriores, os comento si me ha vuelto a pasar lo de no poder conectarme desde la red local.
Muchas gracias @egrueda
1) Todo lo que hago referente a root es mediante sudo, así que no tengo el usuario root habilitado con contraseña para loguearme como tal.
2) Es una opción sencilla, la contemplo.
3) Me parece la más acertada, pero el tema es que actualmente estoy trabajando con VSCode y el plugin que tiene de SSH y no sé cómo le afectaría conectarme con las keys en lugar de contraseña normal.
4) He visto que es fácil y puede resultar efectivo, lo haré.
5) Creo que es sin duda la que mejor control tendrá sobre las conexiones, la pondré en práctica también.
Una vez tenga hechos algunos de los cambios anteriores, os comento si me ha vuelto a pasar lo de no poder conectarme desde la red local.
Muchas gracias @egrueda
-
egrueda
- Pi God
- Mensajes: 3426
- Registrado: 10 Feb 2017, 19:31
- Agradecido: 7 veces
- Agradecimiento recibido: 269 veces
Pues ale, ya tienes entretenimiento jajaja
Respecto al vscode, depende del plugin SSH que estés usando, seguramente contemple esta opción, es algo muy habitual.
Respecto al vscode, depende del plugin SSH que estés usando, seguramente contemple esta opción, es algo muy habitual.
No respondo a privados ;-)
👉 Particiones en una MicroSD
👉 Cómo pedir ayuda en el foro
Invítame a un café
👉 Particiones en una MicroSD
👉 Cómo pedir ayuda en el foro
Invítame a un café
-
egrueda
- Pi God
- Mensajes: 3426
- Registrado: 10 Feb 2017, 19:31
- Agradecido: 7 veces
- Agradecimiento recibido: 269 veces
Ya que hemos visto estas opciones para asegurar el ssh, he creado un post dedicado, por si a alguien le resulta útil:
viewtopic.php?f=6&t=15077
viewtopic.php?f=6&t=15077
No respondo a privados ;-)
👉 Particiones en una MicroSD
👉 Cómo pedir ayuda en el foro
Invítame a un café
👉 Particiones en una MicroSD
👉 Cómo pedir ayuda en el foro
Invítame a un café
-
javinair
- Pi Newbie
- Mensajes: 6
- Registrado: 03 Abr 2019, 23:52
- Agradecido: 0
- Agradecimiento recibido: 0
Anteriormente me conectaba mediante SSH desde el propio VSCode y modificaba los archivos con rmate, pero descubrí el plugin/extensión Remote Development y la verdad es que va muy bien. Me conecto directamente mediante SSH y tengo el workspace totalmente operativo de la rPi, como si estuviera en local. También da la opción de instalar plugins para esa conexión remota (por ejemplo, si quiero ver cambios en caliente de un HTML se puede instalar el plugin LiveServer para esa conexión, por decir alguno).egrueda escribió: 05 May 2020, 10:09 Pues ale, ya tienes entretenimiento jajaja
Respecto al vscode, depende del plugin SSH que estés usando, seguramente contemple esta opción, es algo muy habitual.
https://code.visualstudio.com/docs/remo ... e-overview
PD: Magnífico tuto que te has currado, chapeau
-
javinair
- Pi Newbie
- Mensajes: 6
- Registrado: 03 Abr 2019, 23:52
- Agradecido: 0
- Agradecimiento recibido: 0
Hola @egrueda,
He cambiado el puerto, he deshabilitado el acceso de root y activado el login mediante keys... y desde entonces no he vuelto a tener el problema, así que esta respuesta es solo para agradecer tus comentarios y ayuda 
¡Saludos!
He cambiado el puerto, he deshabilitado el acceso de root y activado el login mediante keys... y desde entonces no he vuelto a tener el problema, así que esta respuesta es solo para agradecer tus comentarios y ayuda
¡Saludos!
-
egrueda
- Pi God
- Mensajes: 3426
- Registrado: 10 Feb 2017, 19:31
- Agradecido: 7 veces
- Agradecimiento recibido: 269 veces
¡Me alegro! ¿Me he ganado un botellín?
No respondo a privados ;-)
👉 Particiones en una MicroSD
👉 Cómo pedir ayuda en el foro
Invítame a un café
👉 Particiones en una MicroSD
👉 Cómo pedir ayuda en el foro
Invítame a un café
