SSH nicht mehr erreichbar nach fail2ban / disabling root login

G

Gast123

Gast
Hallo zusammen,

ich habe gerade auf unserem Firmenserver den SSH-Zugang verloren.
Ich war über SSH als root auf dem Server unterwegs und habe

1. fail2ban installiert und aktiviert
Code:
# apt-get install fail2ban
# systemctl enable fail2ban.service
# systemctl start fail2ban.service

2. dann habe ich in der /etc/ssh/sshd_config
Code:
PermitRootLogin yes
auf
Code:
PermitRootLogin no
geändert.

3. und zu guter letzt SSH neu gestartet.
Code:
systemctl restart sshd.service

Dann habe ich die SSH-Session verlassen und wollte mich als normaler Benutzer anmelden, was vorher ging.
Nun bekomme ich immer folgende Meldung:
Code:
$ ssh ich@server.firma.de 
ssh: connect to host server.firma.de port 22: Connection refused

Ich habe es bereits von mehreren IP Adressen aus probiert, um auszuschließen, dass es an einem fail2ban Jail liegt.
Hat nix gebracht - gleicher Fehler.
NMap sagt das Folgende:
Code:
Not shown: 995 filtered ports
PORT     STATE  SERVICE
20/tcp   closed ftp-data
21/tcp   open   ftp
22/tcp   closed ssh
80/tcp   open   http
3306/tcp open   mysql

Das alles ist dank Backups kein Problem, nur muss ich den Server vom RZ-Admin zurücksetzen lassen und kann daher nicht selbst nachschauen, was schief gelaufen ist.
Daher meine Frage an Euch, damit es mir nicht erneut passiert:
Was war hier der Fehler?

MfG

Schard

PS: Bevor hier jemand jetzt flamed, dass man mit Firmenservern nicht spielt: Der Server ist nagelneu und ich war ihn gerade frisch am Einrichten. ;)
 
Zuletzt bearbeitet von einem Moderator:

bitmuncher

Foren Gott
Beiträge
3.180
fail2ban fügt von sich aus neue Chains für iptables hinzu und entsprechende Regelsätze, damit diese Chains auch greifen. Es liegt daher die Vermutung nahe, dass diese Regelsätze mit den vorhandenen irgendwie in Konflikt geraten sind. Siehe dazu die Direktiven fwchain und fwstart in der fail2ban.conf. Sag deinem RZ-Admin also, dass er möglichst das Mitstarten von fail2ban vermeiden soll, wenn er die Kiste durchstartet, und lass dir bei solchen Experimenten immer ein KVM-Switch an den Server anschliessen. Gute Rechenzentren stellen sowas auch zeitweise bereit.
 
G

Gast123

Gast
Hm, ich habe fast schon sowas vermutet.
Ich werde das im Büro gleich mal tesen und die Chains vorher / nachher vergleichen und diesmal eine SSH-Session geöffnet lassen.
Ich habe leider keinen Hardwarezugang zum Server und es handelst sich zudem um einen vServer.
Der RZ-Admin hat übrigens auf meinen Hinweis hin fail2ban deaktiviert und die sshd_config resettet.

MfG

Schard
 

Ähnliche Themen

Icecast ..

pf: interne Anfragen-Umleitung

Centos 5.5: Qmail lauscht nicht auf Port 25

Mysteriöser 11.4 Absturz - Maschine läuft, SSH und vor Ort Login unmöglich

squid transparent proxy will nicht transparent werden !! :-(

Oben