SSH "Network error: Connection timed out" på nyinstallerad Ubuntu 14.04 server

Trädvy Permalänk
Moderator
Plats
Umeå
Registrerad
Mar 2011

SSH "Network error: Connection timed out" på nyinstallerad Ubuntu 14.04 server

Bestämde mig för att installera om min lilla mediaserver. Enda skillnaden mot förra gången var att jag inte valde LVM under installationen denna gången. Varje gång jag försöker ansluta mot servern via Putty får jag "Network error: Connection timed out". Jag har inte gjort någon port forward i routern eftersom det inte behövdes förra gången. Inga ändringar på själva servern är gjorda heller, utan jag har bara installerat operativsystemet och SSH.

Eftersom jag i princip har börjat lära mig Linux i och med byggandet av den här lilla servern så har jag väldigt lite kunskap om vad som kan tänkas vara fel och vad jag bör testa, så alla tips uppskattas.

"The more you learn, the more you realize how little you know."

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av Casgar:

Bestämde mig för att installera om min lilla mediaserver. Enda skillnaden mot förra gången var att jag inte valde LVM under installationen denna gången. Varje gång jag försöker ansluta mot servern via Putty får jag "Network error: Connection timed out". Jag har inte gjort någon port forward i routern eftersom det inte behövdes förra gången. Inga ändringar på själva servern är gjorda heller, utan jag har bara installerat operativsystemet och SSH.

Eftersom jag i princip har börjat lära mig Linux i och med byggandet av den här lilla servern så har jag väldigt lite kunskap om vad som kan tänkas vara fel och vad jag bör testa, så alla tips uppskattas.

Har du kontrollerat att SSH körs?

kör netstat -plantu | grep 22

Output borde se ut på följande sätt 0.0.0.0:22

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Moderator
Plats
Umeå
Registrerad
Mar 2011

@BrusE:

tcp ____ 0___0 0.0.0.0:22 _____0.0.0.0:*____ LISTEN___883/sshd
tcp6____0___0 :::22__________:::*_________LISTEN___883/sshd

Dold text

(Offtopic: Hur gör man tabs/flera mellanslag i en post?)

"The more you learn, the more you realize how little you know."

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av Casgar:

@BrusE:

tcp ____ 0___0 0.0.0.0:22 _____0.0.0.0:*____ LISTEN___883/sshd
tcp6____0___0 :::22__________:::*_________LISTEN___883/sshd

Dold text

(Offtopic: Hur gör man tabs/flera mellanslag i en post?)

Kolla så att du inte har en brandvägg framför och att du ansluter till rätt IP adress.

Jag förstår inte Hur gör man tabs/flera mellanslag i en post?

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Moderator
Plats
Umeå
Registrerad
Mar 2011
Skrivet av BrusE:

Kolla så att du inte har en brandvägg framför och att du ansluter till rätt IP adress.

Jag skrev inte det, men jag ansluter mot servern över LAN, inte WAN. Då borde väl inte brandväggen försöka blockera någonting?

IP-adressen är rätt. Ansluter jag mot en felaktig adress så står det att hosten inte finns. Nu när jag ansluter så ploppar terminalen upp, men utan någon text. "Login"-texten finns inte där utan endast markören, som inte går att göra något med, och efter 10-15 sekunder så kommer "Network error" upp.

Skrivet av BrusE:

Jag förstår inte Hur gör man tabs/flera mellanslag i en post?

Skriver jag t.ex. 10 mellanslag så komprimeras det till endast ett mellanslag när väl posten skickas. Det gör att det blir svårt om man försöker strukturera upp saker som står i en tabell eller liknande. Därför använde jag understreck i min förra post.

"The more you learn, the more you realize how little you know."

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av Casgar:

Jag skrev inte det, men jag ansluter mot servern över LAN, inte WAN. Då borde väl inte brandväggen försöka blockera någonting?

IP-adressen är rätt. Ansluter jag mot en felaktig adress så står det att hosten inte finns. Nu när jag ansluter så ploppar terminalen upp, men utan någon text. "Login"-texten finns inte där utan endast markören, som inte går att göra något med, och efter 10-15 sekunder så kommer "Network error" upp.

Skriver jag t.ex. 10 mellanslag så komprimeras det till endast ett mellanslag när väl posten skickas. Det gör att det blir svårt om man försöker strukturera upp saker som står i en tabell eller liknande. Därför använde jag understreck i min förra post.

skriv iptables -L -n

Alternativet är att testa att starta om server. Kolla också att du ansluter mot port 22 med din klient.
Du skulle kunna köra

tcpdump -i eth0 port 22 -n

Då kommer vi se om du gör ett anslutningsförsök mot servern.

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Moderator
Plats
Umeå
Registrerad
Mar 2011
Skrivet av BrusE:

skriv iptables -L -n

Chain INPUT (policy ACCEPT)
target_____prot opt source__________destination

Chain FORWARD (policy ACCEPT)
target_____prot opt source__________destination

Chain OUTPUT (policy ACCEPT)
target_____prot opt source__________destination

Dold text
Skrivet av BrusE:

Alternativet är att testa att starta om server. Kolla också att du ansluter mot port 22 med din klient.
Du skulle kunna köra

tcpdump -i eth0 port 22 -n

Då kommer vi se om du gör ett anslutningsförsök mot servern.

tcpdump: eth0: No such device exists
(SIOCGIFHWADDR: No such device)

Dold text

Detta gjorde att jag till att börja med funderade om nätverksenheten hade fått något annat namn eftersom jag har för mig jag läst det någonstans. Skrev in "ifconfig" och där står det att nätverksenheten har betäckningen "em1". Jag upptäckte även att IP-adressen jag försökt ansluta mot var fel. Servern säger sig ha adress 192.168.1.2 medans routern, som jag tog adressen ifrån från början, visar att servern har adress 192.168.1.128. Testade att ansluta mot adressen servern rapporterade och nu fungerar det. Antar att genvägar är senvägar.

Tack för hjälpen. Fattar fortfarande inte varför routern visar en annan adress dock.

"The more you learn, the more you realize how little you know."

Trädvy Permalänk
Medlem
Plats
Stenungsund
Registrerad
Maj 2005

Advanced IP Scanner fungerar bra om du vill kolla IP-Adresser på saker, används mer i discovery syfte i nätverk du inte vet alla IP-Adresser dock.

För att se alla NIC fungerar ip link show.

ip link set em1 up startar ditt NIC, down stänger av det.

ifconfig vissar mer roligheter, men används enbart för att visa hur det ser ut.

cat /etc/network/interfaces

listar dina inställningar.

För att sätta en statiskt IP-Adress görs även det i interfaces. (Vilket bör göras för en Server)

nano /etc/network/interfaces

auto em1
iface em1 inet static
address 192.168.1.2
gateway 192.168.1.1
netmask 255.255.255.0
dns-nameservers 192.168.1.1

Där har du en inställning som sätter statiskt IP 192.168.1.2 med din router some gateway och DNS, du kan byta DNS till googles 8.8.8.8 om du vill.

Hade rekommenderat något annat än .2 dock, typ .10 eller något.

EDIT

Kom på att Ubuntu inte gillar att logga in dig som root via SSH

nano /etc/ssh/sshd_config

ändra PermitRootLogin without-password
till PermitRootLogin yes

är den kommenterad med # så ta bort det.

22 April Ubuntu 16.04 LTS hype

Every mammal on this planet instinctively develops a natural equilibrium with the surrounding environment; but you humans do not. Instead you multiply, and multiply, until every resource is consumed.
There is another organism on this planet that follows the same pattern... a virus.
CITERA CITERA CITERA

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2008
Skrivet av mini-ryttge:

Advanced IP Scanner fungerar bra om du vill kolla IP-Adresser på saker, används mer i discovery syfte i nätverk du inte vet alla IP-Adresser dock.

För att se alla NIC fungerar ip link show.

ip link set em1 up startar ditt NIC, down stänger av det.

ifconfig vissar mer roligheter, men används enbart för att visa hur det ser ut.

cat /etc/network/interfaces

listar dina inställningar.

För att sätta en statiskt IP-Adress görs även det i interfaces. (Vilket bör göras för en Server)

nano /etc/network/interfaces

auto em1
iface em1 inet static
address 192.168.1.2
gateway 192.168.1.1
netmask 255.255.255.0
dns-nameservers 192.168.1.1

Där har du en inställning som sätter statiskt IP 192.168.1.2 med din router some gateway och DNS, du kan byta DNS till googles 8.8.8.8 om du vill.

Hade rekommenderat något annat än .2 dock, typ .10 eller något.

EDIT

Kom på att Ubuntu inte gillar att logga in dig som root via SSH

nano /etc/ssh/sshd_config

ändra PermitRootLogin without-password
till PermitRootLogin yes

är den kommenterad med # så ta bort det.

22 April Ubuntu 16.04 LTS hype

IMO är det inte bra att confa om sshd för att tillåta root att logga in över SSH med lösenord. Nu låter det som en maskin som bara går på lokala nätverket men det är en dålig vana, att logga in som root med diverse vanliga lösenord är nog det första en script-kiddie provar.

Standardvärdet "without-password" låter dig använda ett nyckelpar istället och det är metoden jag rekommenderar om man inte vill logga in som en vanlig användare först. Faktum är att jag rekommenderar att använda nyckelpar även för vanliga användare, det är både bekvämare och säkrare. Dessutom kan man ta bort nycklar om någon privat nyckel har kommit på vift.

Edit:
Glömde naturligtvis hypa Ubuntu 16.04!

Mjölnir: AMD Ryzen 5 2400G | Gigabyte GA-AB350N | Crucial Ballistix Sport 8GB | Sapphire RX 580 8GB NITRO+ | IKEA Knagglig
Server: Intel i7-2600 | ASRock Z68 Fatal1ty (defekt men bootar) | Corsair XMS 32GB | Sapphire HD 5850 1GB | NZXT Switch 810

Trädvy Permalänk
Moderator
Plats
Umeå
Registrerad
Mar 2011

@mini-ryttge: Tack för lite matnyttig information. Några kommentarer och funderingar dock;

- Vad menar du med "Ubuntu inte gillar att logga in dig som root via SSH"?
- Varför rekommenderar du inte .2 i IP.adressen?

Kommer även ändra portnummret för SSH för att sålla bort 99% av automatiska hacking-försök i framtiden. Fler säkerhetstips uppskattas också, så länge de inte går in allt för djupt i "tin foil hat territory". Hela servern är som sagt mest ett experiment för att lära mig Linux.

"The more you learn, the more you realize how little you know."

Trädvy Permalänk
Medlem
Plats
#Archlinux
Registrerad
Jun 2007
Skrivet av Casgar:

@mini-ryttge: Tack för lite matnyttig information. Några kommentarer och funderingar dock;

- Vad menar du med "Ubuntu inte gillar att logga in dig som root via SSH"?
- Varför rekommenderar du inte .2 i IP.adressen?

Kommer även ändra portnummret för SSH för att sålla bort 99% av automatiska hacking-försök i framtiden. Fler säkerhetstips uppskattas också, så länge de inte går in allt för djupt i "tin foil hat territory". Hela servern är som sagt mest ett experiment för att lära mig Linux.

Eftersom 99% av alla normala distron ute stänger av root login i conf filen då det är en säkerhetsrisk och helt onödigt när man kan skapa en vanlig användare med sudo privileger.

Lättare för en hackare att börja spamma login försök på root än att först komma på namnet du använder för att logga in och sedan lösenordet också.

TLDR;
Så, använd vanlig användare för att sedan köra sudo för att få root privileger, eller som tidigare talare använd nycklar istället. Att köra med root login är både onödigt och en säkerhetsrisk.

Arch - Makepkg, not war -||- Asus Crosshair Hero VI -||- GSkill 16GiB DDR4 15-15-15-35-1T 3600Mhz -||- AMD 1600x @ 4.1GHz -||- nVidia MSI 970 Gaming -||- Samsung 850 Pro -||- EVEGA G2 750W -||- Corsair 570x -||- Asus Xonar Essence STX -||- Sennheiser HD-650 -||
Arch Linux, one hell of a distribution.

Trädvy Permalänk
Medlem
Plats
Stenungsund
Registrerad
Maj 2005

Som både ovan nämnda talare nämnt är det ingen bra idé att tillåta root access via SSH med lösenord om du planerar att öppna upp för SSH anslutningar i din brandvägg. Fail2Ban är något du bör ha om du vill komma åt den över internet. Du bör också då istället använda en användare med sudo rättigheter och enbart tillåta anslutningar med nyckel. Även om det sistnämnda gör att du inte kan ansluta från enheter utan dina nycklar. Byta port är även det en strålande idé.

Mina servrar nås enbart via ssh över lokala nätverket och skulle jag vilja nå dem utifrån görs detta över VPN.

Att sitta och skriva sudo samt lösenord var och vartannat kommand när jag gör grundkonfiguration av en server är jag dock inte mycket för. Allt jag gör på mina servrar kräver sudo rättigheter. Jag bortser från den säkerhetsrisk detta skapar på mina privataservrar då de ändå hade krävts att förövaren gör en bruteforce attack från mitt lokala nätverk på mina tämligen ointressanta servrar.

PACmanager är förövrigt ett trevligt verktyg om du administrerar servrar från Linux.

Every mammal on this planet instinctively develops a natural equilibrium with the surrounding environment; but you humans do not. Instead you multiply, and multiply, until every resource is consumed.
There is another organism on this planet that follows the same pattern... a virus.
CITERA CITERA CITERA

Trädvy Permalänk
Medlem
Plats
~/
Registrerad
Mar 2008

En annan bra grej med att inte tillåta eller använda root över SSH (eller root överhuvudtaget) är att det ökar risken att något allvarligt händer om man gör fel, alltså skriver in fel kommando. Man ska vara mycket försiktig med root-kontot och såklart även när man använder sudo, men då tycker jag att man hinner tänka till.

Konfigurera brandväggen är enkelt med programmet ufw (uncomplicated firewall). Lägg in så att du har en limit-regel på SSH-porten, så spärras man efter sex felaktiga försök t.ex. Jag har också lagt in regel för port 22 så att det bara går att komma åt från mitt lokala nätverk (192.168.2.0/24) men har en annan port utåt. Det är säkerhetsrisk, men för mig är det väldigt smidigt då jag behöver komma åt servern ibland. Det bästa är att använda en VPN i det fallet, men då är man knuten till specifika maskiner (särskilt med OpenVPN).

Någon nämnde fail2ban, också bra. Det skadar inte att ha flera lager med säkerthet, så konfigurera brandväggen på servern även om du ligger bakom en router med brandvägg.

Man kan ha ett nyckelpar med lösenord, vilket är det säkraste. Men då faller det lite på enkelheten (slippa "logga in") som nycklar skapar.

AMD Ryzen 5 2600X, Asus ROG Strix B350-I, 16GB Corsair Vengeance LP 2400MHz, Nvidia GeForce GTX 970, Fractal Design Nano S, EVGA Supernova G2 650W.