Skip site navigation (1)Skip section navigation (2) 
Date:      Thu, 22 Feb 2024 18:56:58 +0900
From:      Tomoaki AOKI <junchoon@dec.sakura.ne.jp>
To:        users-jp@freebsd.org
Subject:   Re: sshd : hosts.allow
Message-ID:  <20240222185658.2cb68ae90dd226a7f1943169@dec.sakura.ne.jp>
In-Reply-To: <20240222152143.280b4a91@nowhere.oikumene.ukehi.net>
References:  <CAP00BhVL%2BUauePOO=0MpCL_dYAO0cjWySvdOxWj4OPepMoAn4g@mail.gmail.com> <20240222152143.280b4a91@nowhere.oikumene.ukehi.net>
next in thread | previous in thread | raw e-mail | index | archive | help 
青木@名古屋です。

自分ではserviceを提供するような用途に使っていないので外している
かもしれませんが、症状的には固定のポートを握りっぱなしにされている
ような感じですね。 それがsshdなのかtcpdなのかmailなのかは追い
きれていませんが。

コネクションが張られると受付用にsshdがlistenしているポート(デフォルト
から変更されているかもしれないので)を排他でロックしてしまうような
設定になっているか同時接続数をsshd1つあたり1件に限定しているのか。
(以前は複数受け付けるようになっていたのが変更?)

inetd経由なら大丈夫という事例があるとなると、記憶違いでなければ
sshd自体は常時起動してはおらず、sshdがlistenすべきポートへの
アクセスが来た時点で「そこをモニタしている」inetdがsshdを起動する
流れになるので、排他設定できなくなって結果的に回避されているという
状況がありそうな気がします。

多少なりと原因切り分けのヒントにでもなれば。


On Thu, 22 Feb 2024 15:21:43 +0900
Hiroo Ono <hiroo@oikumene.net> wrote:

> On Thu, 22 Feb 2024 14:44:57 +0900
> 鬼生田浩一 <oniuda@oni.gr.jp> wrote:
> 
> 小野寛生です。
> 
> https://forums.freebsd.org/threads/freebsd-13-2-openssh-9-3-1-connection-limit.88891/
> では 13.2-RELEASE で同じ現象が見られているそうで、根本原因は分からないものの、sshd を inetd から
> 起動するようにしたらとりあえず回避できると書かれています。
> あと、外しているとは思いますが、sshd のルールの3行目を付け足したらどうなりますか?
> 
> > 鬼生田です。
> > 
> > 14.0-RELEASE-p3サーバを新規構築中ですが、/etc/hosts.allowが過去バージョンの
> > 時と動作が異なります。
> > 
> > sshd: 192.168. : allow
> > sshd: .example.jp  \
> >         : spawn (echo %d. | \
> >          /usr/bin/mail -s "tcpd\: %d-form-%u@%h[%a]!" root) & \
> >         : allow
> > 
> > 192.168.X.YからのSSHアクセスは、問題ありませんが
> > .example.jp からのSSHアクセスは、2接続目が待ち状態となります。
> > 2接続目のアクセスを示すメールは届きます。1番目の接続を終了す
> > るとログインプロセスへ移行します。(プロンプト表示)
> > 
> > google検索で、以下のページがヒットし、同じ現象のようです。
> > https://www.space-i.jp/wp/?m=glduoruwccke
> > 
> > ftpd : では上記hosts.allowの記述で従来と同じ動作をしてくれます。
> > この現象(仕様?)の、情報お持ちの方おられましたら、ご教示ください。
> > 
> 
> 
> 


-- 
青木 知明  [Tomoaki AOKI]    <junchoon@dec.sakura.ne.jp>

Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?20240222185658.2cb68ae90dd226a7f1943169>