From nobody Mon Feb 26 04:53:41 2024 X-Original-To: users-jp@mlmmj.nyi.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2610:1c1:1:606c::19:1]) by mlmmj.nyi.freebsd.org (Postfix) with ESMTP id 4TjpDN0MrHz5CMJ0 for ; Mon, 26 Feb 2024 04:53:56 +0000 (UTC) (envelope-from oniuda@oni.gr.jp) Received: from zaku.oni.gr.jp (zaku.oni.gr.jp [210.152.8.54]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 4TjpDK05MTz4G5G for ; Mon, 26 Feb 2024 04:53:52 +0000 (UTC) (envelope-from oniuda@oni.gr.jp) Authentication-Results: mx1.freebsd.org; dkim=none; dmarc=none; spf=pass (mx1.freebsd.org: domain of oniuda@oni.gr.jp designates 210.152.8.54 as permitted sender) smtp.mailfrom=oniuda@oni.gr.jp Received: from localhost (localhost [127.0.0.1]) by zaku.oni.gr.jp (8.15.2/8.15.2) with ESMTP id 41Q4rhQx094854 for ; Mon, 26 Feb 2024 13:53:43 +0900 (JST) (envelope-from oniuda@oni.gr.jp) Date: Mon, 26 Feb 2024 13:53:41 +0900 (JST) Message-Id: <20240226.135341.77833120831047141.oniuda@oni.gr.jp> To: users-jp@freebsd.org Subject: Re: sshd : hosts.allow From: Koh-ichi Oniuda (=?iso-2022-jp?B?GyRCNTRAOEVEOUAwbBsoQg==?=) In-Reply-To: <20240222185658.2cb68ae90dd226a7f1943169@dec.sakura.ne.jp> References: <20240222152143.280b4a91@nowhere.oikumene.ukehi.net> <20240222185658.2cb68ae90dd226a7f1943169@dec.sakura.ne.jp> X-Mailer: Mew version 6.7 on Emacs 25.3 / Mule 6.0 (HANACHIRUSATO) List-Id: Discussion relevant to FreeBSD communities in Japan List-Archive: https://lists.freebsd.org/archives/freebsd-users-jp List-Help: List-Post: List-Subscribe: List-Unsubscribe: Sender: owner-freebsd-users-jp@freebsd.org X-BeenThere: freebsd-users-jp@freebsd.org Mime-Version: 1.0 Content-Type: Text/Plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit X-Spamd-Bar: / X-Spamd-Result: default: False [-0.06 / 15.00]; MID_CONTAINS_FROM(1.00)[]; NEURAL_HAM_SHORT(-0.99)[-0.986]; NEURAL_HAM_MEDIUM(-0.92)[-0.922]; NEURAL_SPAM_LONG(0.55)[0.546]; MV_CASE(0.50)[]; R_SPF_ALLOW(-0.20)[+mx]; MIME_GOOD(-0.10)[text/plain]; ONCE_RECEIVED(0.10)[]; RCPT_COUNT_ONE(0.00)[1]; RCVD_COUNT_ONE(0.00)[1]; ASN(0.00)[asn:4694, ipnet:210.152.0.0/20, country:JP]; MIME_TRACE(0.00)[0:+]; R_DKIM_NA(0.00)[]; FROM_HAS_DN(0.00)[]; DMARC_NA(0.00)[oni.gr.jp]; TO_DN_NONE(0.00)[]; FROM_EQ_ENVFROM(0.00)[]; MLMMJ_DEST(0.00)[users-jp@freebsd.org]; TO_MATCH_ENVRCPT_ALL(0.00)[]; RCVD_TLS_LAST(0.00)[]; PREVIOUSLY_DELIVERED(0.00)[users-jp@freebsd.org]; ARC_NA(0.00)[] X-Rspamd-Queue-Id: 4TjpDK05MTz4G5G 鬼生田です。  ftpdは、同じ記述で問題ないので、小野さんの情報に従いsshdもinetd 経由でアクセスするように変更し、やりたいことは実現できました。 情報提供ありがとうございました。 以下インラインでもう少しだけ. In <20240222185658.2cb68ae90dd226a7f1943169@dec.sakura.ne.jp> at Thu, 22 Feb 2024 18:56:58 +0900 Re:[ Re: sshd : hosts.allow ] Tomoaki AOKI wrotes: junchoon> 青木@名古屋です。 junchoon> junchoon> 自分ではserviceを提供するような用途に使っていないので外している junchoon> かもしれませんが、症状的には固定のポートを握りっぱなしにされている junchoon> ような感じですね。 それがsshdなのかtcpdなのかmailなのかは追い junchoon> きれていませんが。  2番目のSSH接続後、プロンプト表示前に、メールは到着していますので sshdの、/usr/bin/mailコマンドをspwn した後の処理がまずいように思います。 メール到着後は、当然のことながら、ps コマンドでも /usr/bin/mail コマンド は、確認できません。sshd内部処理でspawn後に刺さるようです。  さらに、待ち状態のslogin を中止(Ctrl-C))すると、sshdの再起動をできなく なり(/etc/rc.d/sshd restart)、kill -9することになりました。 junchoon> コネクションが張られると受付用にsshdがlistenしているポート(デフォルト junchoon> から変更されているかもしれないので)を排他でロックしてしまうような junchoon> 設定になっているか同時接続数をsshd1つあたり1件に限定しているのか。 junchoon> (以前は複数受け付けるようになっていたのが変更?) junchoon> junchoon> inetd経由なら大丈夫という事例があるとなると、記憶違いでなければ junchoon> sshd自体は常時起動してはおらず、sshdがlistenすべきポートへの junchoon> アクセスが来た時点で「そこをモニタしている」inetdがsshdを起動する junchoon> 流れになるので、排他設定できなくなって結果的に回避されているという junchoon> 状況がありそうな気がします。 spawnなしで、allow の場合は、問題なく同時アクセス可能なので排他制御的なもの ではないようです。 junchoon> 多少なりと原因切り分けのヒントにでもなれば。 大変参考になりました。情報提供ありがとうございます。 junchoon> On Thu, 22 Feb 2024 15:21:43 +0900 junchoon> Hiroo Ono wrote: junchoon> junchoon> > On Thu, 22 Feb 2024 14:44:57 +0900 junchoon> > 鬼生田浩一 wrote: junchoon> > junchoon> > 小野寛生です。 junchoon> > junchoon> > https://forums.freebsd.org/threads/freebsd-13-2-openssh-9-3-1-connection-limit.88891/ junchoon> > では 13.2-RELEASE で同じ現象が見られているそうで、根本原因は分からないものの、sshd を inetd から junchoon> > 起動するようにしたらとりあえず回避できると書かれています。 junchoon> > あと、外しているとは思いますが、sshd のルールの3行目を付け足したらどうなりますか?  こちらも試してみましたが、残念ながらspawnを処理した後、待ち状態となりました。 junchoon> > > 鬼生田です。 junchoon> > > junchoon> > > 14.0-RELEASE-p3サーバを新規構築中ですが、/etc/hosts.allowが過去バージョンの junchoon> > > 時と動作が異なります。 junchoon> > > junchoon> > > sshd: 192.168. : allow junchoon> > > sshd: .example.jp \ junchoon> > > : spawn (echo %d. | \ junchoon> > > /usr/bin/mail -s "tcpd\: %d-form-%u@%h[%a]!" root) & \ junchoon> > > : allow junchoon> > > junchoon> > > 192.168.X.YからのSSHアクセスは、問題ありませんが junchoon> > > .example.jp からのSSHアクセスは、2接続目が待ち状態となります。 junchoon> > > 2接続目のアクセスを示すメールは届きます。1番目の接続を終了す junchoon> > > るとログインプロセスへ移行します。(プロンプト表示) junchoon> > > junchoon> > > google検索で、以下のページがヒットし、同じ現象のようです。 junchoon> > > https://www.space-i.jp/wp/?m=glduoruwccke junchoon> > > junchoon> > > ftpd : では上記hosts.allowの記述で従来と同じ動作をしてくれます。 junchoon> > > この現象(仕様?)の、情報お持ちの方おられましたら、ご教示ください。 --- Oniuda