SSH 成功通过 IPv6 登录，同时使用 IPv4 到同一主机会产生“权限被拒绝”

Question

SSH 成功通过 IPv6 登录，同时使用 IPv4 到同一主机会产生“权限被拒绝”

我目前被一个奇怪的问题难住了……我有一台双栈主机，我想通过 SSH 连接到它。如果我通过 IPv6 连接，一切都按预期进行

datenwolf@foo ~/ > ssh -6 bar.example.com
Password:

datenwolf@bar ~/ >

Run Code Online (Sandbox Code Playgroud)

但是，当通过 IPv4 执行相同操作时，它会失败

datenwolf@foo ~/ > ssh -4 bar.example.com
Password:
Permission denied (publickey,keyboard-interactive).

datenwolf@foo ~/ >

Run Code Online (Sandbox Code Playgroud)

/var/log/sshd登录失败的摘录

Apr 24 16:34:03 [sshd] SSH: Server;Ltype: Version;Remote: www.xxx.yyy.zzz-38427;Protocol: 2.0;Client: OpenSSH_5.9p1 Debian-5ubuntu1
Apr 24 16:34:03 [sshd] SSH: Server;Ltype: Kex;Remote: www.xxx.yyy.zzz-38427;Enc: aes128-ctr;MAC: hmac-md5;Comp: none [preauth]
Apr 24 16:34:04 [sshd] SSH: Server;Ltype: Authname;Remote: www.xxx.yyy.zzz-38427;Name: wolfgangd [preauth]
Apr 24 16:34:07 [sshd] pam_access(sshd:account): access denied for user `datenwolf' from `foo.example.com'
Apr 24 16:34:07 [sshd] error: PAM: User account has expired for datenwolf from foo.example.com
Apr 24 16:34:07 [sshd] Connection closed by www.xxx.yyy.zzz [preauth]

Run Code Online (Sandbox Code Playgroud)

当然账号没有过期，我可以通过IPv6完美登录。使用谷歌我发现了关于日志消息的各种报告，但没有一个与我的问题相符（从某种意义上说，应用所提出的解决方案对我的情况不起作用）。

我在这里几乎没有想法。

更新

/var/log/sshd为了在同一台目标机器上成功登录 IPv6 ：

Apr 24 16:56:42 [sshd] SSH: Server;Ltype: Version;Remote: 2001:x:x:x:x:x:x:x-46025;Protocol: 2.0;Client: OpenSSH_5.9p1 Debian-5ubuntu1
Apr 24 16:56:42 [sshd] SSH: Server;Ltype: Kex;Remote: 2001:x:x:x:x:x:x:x-46025;Enc: aes128-ctr;MAC: hmac-md5;Comp: none [preauth]
Apr 24 16:56:43 [sshd] SSH: Server;Ltype: Authname;Remote: 2001:x:x:x:x:x:x:x-46025;Name: datenwolf [preauth]
Apr 24 16:56:47 [sshd] Accepted keyboard-interactive/pam for datenwolf from 2001:x:x:x:x:x:x:x port 46025 ssh2
Apr 24 16:56:47 [sshd] pam_unix(sshd:session): session opened for user datenwolf by (uid=0)

Run Code Online (Sandbox Code Playgroud)

我尝试从各种机器登录都得到相同的结果：IPv6 有效，IPv4 无效。

更新 2

作为参考，这是使用的 IP 表。请注意，这些都是经过实战测试的，即它们已经使用了几年并且最近没有改变。通过 IPv4 的远程登录确实适用于他们。

IPv4 iptables：

Chain INPUT (policy ACCEPT 2144 packets, 336K bytes)
 pkts bytes target     prot opt in     out     source               destination         
  132 20762 fail2ban-SSH  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
  12M   14G ACCEPT     all  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
 3111 95984 ACCEPT     icmp --  ppp0   *       0.0.0.0/0            0.0.0.0/0           
18692 1123K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    2   112 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:1194
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1194
 4633  288K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:6880:6899
 2826  154K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:6880:6899
    4   160 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:123
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:123
44165 3069K REJECT     all  --  ppp0   *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 48032 packets, 44M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:631 reject-with icmp-port-unreachable
    0     0 REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:515 reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:631 reject-with icmp-port-unreachable
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:515 reject-with icmp-port-unreachable
    0     0 REJECT     all  --  ppp0   ppp0    0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
 133K 8347K TCPMSS     tcp  --  *      ppp0    0.0.0.0/0            0.0.0.0/0            tcp flags:0x06/0x02 TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT 14378 packets, 2172K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain fail2ban-SSH (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  132 20762 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Run Code Online (Sandbox Code Playgroud)

IPv6 ip6tables

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all      *      *       ::/0                 ::/0                 rt type:0 segsleft:0
 484K   86M ACCEPT     icmpv6   *      *       ::/0                 ::/0                
 105K 7943K ACCEPT     tcp      *      *       ::/0                 ::/0                 tcp dpt:22
    0     0 ACCEPT     udp      *      *       ::/0                 ::/0                 udp dpt:1194
    0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 tcp dpt:1194
    0     0 ACCEPT     udp      *      *       ::/0                 ::/0                 udp dpts:6880:6899
    0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 tcp dpts:6880:6899
    0     0 ACCEPT     tcp      *      *       ::/0                 ::/0                 tcp dpt:123
    0     0 ACCEPT     udp      *      *       ::/0                 ::/0                 udp dpt:123
    0     0 ACCEPT     all      ppp0,sixxs *       ::/0                 ::/0                 ctstate RELATED,ESTABLISHED
4164K  466M ACCEPT     all      !ppp0,sixxs *       ::/0                 ::/0                
    0     0 REJECT     all      *      *       ::/0                 ::/0                 reject-with icmp6-port-unreachable

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all      *      *       ::/0                 ::/0                 rt type:0 segsleft:0
 2864  311K ACCEPT     icmpv6   *      *       ::/0                 ::/0                
    0     0 REJECT     tcp      *      *       ::/0                 ::/0                 multiport ports 631 reject-with icmp6-port-unreachable
    0     0 REJECT     udp      *      *       ::/0                 ::/0                 multiport ports 631 reject-with icmp6-port-unreachable
    0     0 REJECT     tcp      *      *       ::/0                 ::/0                 multiport ports 515 reject-with icmp6-port-unreachable
    0     0 REJECT     udp      *      *       ::/0                 ::/0                 multiport ports 515 reject-with icmp6-port-unreachable
    0     0 REJECT     all      ppp0,sixxs ppp0,sixxs  ::/0                 ::/0                 reject-with icmp6-port-unreachable
    0     0 accept_with_pmtu_clamp  tcp      ppp0,sixxs *      !2001:x:x::/48   2001:x:x::/48   tcp dpt:22
  18M   14G accept_with_pmtu_clamp  all      *      *       ::/0                 ::/0                 ctstate RELATED,ESTABLISHED
65503 5289K accept_with_pmtu_clamp  all      !ppp0,sixxs *       ::/0                 ::/0                
    0     0 REJECT     all      *      *       ::/0                 ::/0                 reject-with icmp6-port-unreachable

Chain OUTPUT (policy ACCEPT 8099K packets, 11G bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all      *      *       ::/0                 ::/0                 rt type:0 segsleft:0

Chain accept_with_pmtu_clamp (3 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 TCPMSS     tcp      *      ppp0,sixxs  ::/0                 ::/0                 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
  18M   14G ACCEPT     all      *      *       ::/0                 ::/0

Run Code Online (Sandbox Code Playgroud)

更新 3

这是/etc/sshd/sshd_config我尝试连接的系统，删除了所有评论：

Port 22
ListenAddress 0.0.0.0
ListenAddress ::

PubkeyAuthentication yes
PasswordAuthentication no
UsePAM yes

AllowAgentForwarding yes
AllowTcpForwarding yes
X11Forwarding yes
X11DisplayOffset 10
X11UseLocalhost yes
PrintMotd no
PrintLastLog no
UseDNS yes

Subsystem       sftp    /usr/lib64/misc/sftp-server

Run Code Online (Sandbox Code Playgroud)

Answer 1

dat*_*olf 5

在事情变得越来越陌生之后（请参阅我问题中的评论主题），我终于想通了。首先要做的事情是：身份验证过程在 pam_access.so中确实失败了，但不是由于/etc/security/access.conf建议中的某些错误配置。

要理解其中的原因，我们必须特别看一下这个盒子的设置：它作为一个路由器，通向 IPv4，通过 PPP 链路本地传输，IPv6 通过 6in4 隧道传输。这个盒子也充当了一个 DNS 递归解析器，在这里它变得有趣了。我确实以某种方式配置了解析器，即从 IPv4 根服务器开始递归解析 IPv4 反向查找，而 IPv6 反向查找从 IPv6 根服务器开始。当我第一次安装它时，这个设置确实有效。

现在我的ISP输入图片和不了解的人，DNS放大攻击是如何工作的。长话短说：我确信我的 ISP 会随机处理传入的 DNS 数据包，即某些事情现在必须通过他们自己的解析器解析一段时间，同时在您自己的作品中递归解析其他 DNS 地址 – 官方原因是为了减轻 DNS 放大攻击，但他们当时做错了^1。

由于我不想在很大程度上改变我的设置，我只是将我的 ISP 的 DNS 解析器作为非递归转发放在本地 DNS 解析器的末尾，因此如果递归解析尝试超时，它会尝试我的 ISP 解析器。到目前为止，这有效。但是当我配置这个时，我犯了一个小错误：我输入了 ISP 的 DNS 解析器，只在我本地范围内的主机上工作，即 192.168.0.0/16 但忘记了 localhost，也就是我的路由器，这是我试图使用的主机SSH 进入，解析器不会将 ISP 的解析器考虑在内。

pam_access.so 尝试反向查找对等地址；这关闭了循环：因为对于 IPv6 反向查找，将访问 DNS IPv6 根服务器，数据包将通过 6in4 隧道，而我的 ISP 不会干扰它们，得到响应。但是我自己不会通过 ISP 的解析器完成 IPv4 反向查找，它不会收到任何响应并最终报告 NXHOST（或者它会超时运行）。无论如何，pam_access.so 不会看到它喜欢的东西，只会说“你不会通过”。

在我修复了解析器配置之后，现在一切都像魅力一样了。但我现在真的必须踩到我的 ISP 的脚趾......

至于我是怎么解决的？好吧，通过猛烈地研究日志详细信息/var/log/everything来查看事物展开的顺序。当我看到我的解析器记录反向查找尝试时，我知道发生了什么。

1：从 DNS 放大缓解的角度来看，这完全是胡说八道，因为我做了测试，传出的 DNS 数据包通过得很好——但是这些数据包应该过滤。事实上，每个最终客户 ISP 都应该丢弃所有发件人地址与客户地址不匹配的 UDP 数据包

归档时间：	13 年前
查看次数：	29324 次
最近记录：	6 年，12 月前