[SOLVED] ssh@notty

B

bforpc

Renowned Member
Nov 26, 2013
151
5
83
Hamburg
Hallo,
gegeben sind 2 Proxmox hosts, welche ein Verbund von 2 Nodes darstellen.
Soeben hatte einer der beiden Nodes (Nennen wir in mal Nade A) ~6000 ssh@notty Prozesse laufen und der Server swappte, weilkein RAM übrig war. Nach einem Neustart und Untersuchung per tcpdump hat sich gezeigt, dass der betreffenden Node A ca. alle 5 minuten eine Verbundung zum Node B herstellt und das dabei 1-6 dieser sshd@notty Prozesse aktiv bleiben. Die Replizierung ist deaktiviert.

Irgendeine Idee?

BFO
 
Übers Wochenende sind bis jetzt auch wieder rund 4000 solcher ssh@notty Prozess an gewesen.
Ich brauche dringend Hilfe.

Bfo
 
sind die rechner öffentlich erreichbar? vielleicht versuchen sich viele (bots) zu verbinden?
 
Nein, die Rechner sind nicht öffentlich erreichbar. Auf einem der beiden existiert ein DMZ Bereich mit einer dedizierten Netzwerkkarte, welche auf einem vmbr device in die VM's gereicht wird.
Auffällig ist auch, dass immer ca. alle 5 Minuten diese Sessions geöffnet werden und gleichzeitig am anderen Node (A) auch ganz kurz eine SSH Session sich öffnet, nur dass sie am Node B nicht geschlossen werden. Die beiden Nodes laufen seit rund 2 Jahren ohne Probleme zusammen.

Ich hatte auch Node A mal herunter gefahren und dann sind keine Sessions entstanden.

Ein Upgrade des Systems wurde bevor dieser Fehler auftrat nicht gemacht (aktuell Debian strech).
Ich bin am verzweifeln, da ich die Sessions alle wieder killen muss, damit der Rechner weiter läuft, das ist ein untragbarer Zustand.

Wie könnte ich denn den Datenverkehr zwischend en beiden Nodes temporär abstellen, bzw. heraus finden, was da zwischen den beiden Nodes passiert?

Bfo
 
* Was steht denn im journal beider nodes? (`journalctl -r`)
* Gibt es vl eine firewall zw. beiden nodes, welche das schliessen der ssh-sessions verhindert?
 
Laut Log kommen die Zugriffe alle vom Node B:

Aug 19 14:26:17 proxmoxpb-dmz systemd[1]: Started Session 6933 of user root.
Aug 19 14:26:17 proxmoxpb-dmz systemd-logind[2465]: New session 6933 of user root.
Aug 19 14:26:17 proxmoxpb-dmz sshd[9702]: pam_unix(sshd:session): session opened for user root by (uid=0)
Aug 19 14:26:17 proxmoxpb-dmz sshd[9702]: Accepted publickey for root from [ip] port 37980 ssh2: RSA SHA256:[key]

Es gibt keine FW zwischen den Nodes (beide im selben Netz).
Wenn ich am NODE A alle notty Session kille, sehe ich im Log von Node B zig mal dieses:

Aug 19 14:36:10 proxmoxpb sshd[981]: pam_unix(sshd:session): session opened for user root by (uid=0)
Aug 19 14:36:10 proxmoxpb systemd-logind[3366]: New session 12056 of user root.
Aug 19 14:36:10 proxmoxpb systemd[1]: Started Session 12056 of user root.
Aug 19 14:36:11 proxmoxpb sshd[981]: Received disconnect from 10.50.0.1 port 57978:11: disconnected by user
Aug 19 14:36:11 proxmoxpb sshd[981]: Disconnected from 10.50.0.1 port 57978
Aug 19 14:36:11 proxmoxpb sshd[981]: pam_unix(sshd:session): session closed for user root
Aug 19 14:36:11 proxmoxpb systemd-logind[3366]: Removed session 12056.
Aug 19 14:36:11 proxmoxpb sshd[1026]: Accepted publickey for root from 10.50.0.1 port 58008 ssh2: RSA SHA256:[key]



BFO
 
Last edited:
Die Frage war was am Node B die vielen ssh-connections Richtung Node A aufmacht - daher bitte einen etwas längeren Auszug aus den logs beider nodes posten.
 
Fehler gefunden:

Auf die Spur hat mich die Adresse 10.50.0.1 vom Node B gebracht.
Ein externer Server, welcher keinen direkten Zugriff auf Node A hat, kommt per VPN über Node B auf Node A.
Der Zugriff wird durch netcat gelöst. Dieser hat die Session nicht geschlossen.

Danke für den den Wink, der mich auf die richtige Spur brachte.


Bfo
 
Nichts zu danken! was macht das netcat? (aus reiner Neugier)

Bitte den Thread als 'SOLVED' markieren, damit andere wissen, dass es hier potentielle Antworten gibt :)
Danke!
 
1. Mit netcat wird eine SSH Weiterleitung gemacht, damit Rechner A über B nach C kommt, was direkt nicht möglich ist.
2. "wo/Wie" kann man den Thread als "gelöst" markieren?

Bfp
 
bforpc said:
1. Mit netcat wird eine SSH Weiterleitung gemacht, damit Rechner A über B nach C kommt, was direkt nicht möglich ist.
Click to expand...
vl. wäre hier auch 'ssh -J' eine Option

bforpc said:
2. "wo/Wie" kann man den Thread als "gelöst" markieren?
Click to expand...
ueber dem ersten Post -> 'Thread Tools' -> 'Edit Thread' -> Prefix auf 'SOLVED' setzen :)
 
  • Like
Reactions: bforpc
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom