Problem mit Debian8 MySQL Server

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 9213

20.04.2016 - 09:41

die woche will mich aktuell echt fertigmachen..

ich habe probleme mit meinem debian8 mysql server. bis gestern lief die kiste natürlich noch einwandfrei.
alles hat damit angefangen, dass meine intranet scripte fehler geschmissen haben:

Code:

2013 : Lost connection to MySQL server at 'reading authorization packet', system error: 2

danach musste ich feststellen, dass ich auf einmal per ssh auch nicht mehr reinkomme..
Access denied nach root pw eingabe?!

lokal über das XenCenter Terminal (die kiste ist eine VM) komm ich noch problemlos rein, mir fehlt aber ein ansatz für das problem

PermitRootLogin Yes in der sshd.conf ist gesetzt
iptables alles auf Allow

bind-address in der my.cnf ist auf die korrekte IP gesetzt und ein testweises erhöhen von connect_timeout wie ich es ergoogelt habe bringt auch nix.

was kann ich noch tun?

DANKE!

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

20.04.2016 - 09:54

SELinux auf der Kiste? (Das macht bei mir undefinierbare Probleme regelmäßig)

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 9213

20.04.2016 - 10:03

nein, anscheinend nicht.
(musste jetzt erstmal nachsehen, was das überhaupt ist. "sestatus" kennt er nicht)

edit: SSH loglevel auf verbose gedreht, jedoch loggt er nichtmal die versuche in der auth.log mit

Bearbeitet von Umlüx am 20.04.2016, 10:12

Luka

Vereinsmitglied
...

Registered: Nov 2006
Location: Mödling
Posts: 205

20.04.2016 - 10:34

Möglicherweise wird die Verbindung von TCP-Wrapper zurückgesetzt. Poste mal den Inhalt der Dateien /etc/hosts.allow und /etc/hosts.deny.

Bearbeitet von Luka am 20.04.2016, 10:35

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12312

20.04.2016 - 10:35

Es gibt keine (von irgendjemandem gepflegte und sinnvolle) SELinux Policy fuer Debian.

Hast du OpenSSH nach den Konfigurationsaenderungen neu gestartet? Laeuft ein syslog Daemon (vermutlich rsyslog)?

Haeng mal einen Screenshot von `ss -nlpt` und `systemctl status --no-pager` hier rein.

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 9213

20.04.2016 - 10:45

hosts.allow und hosts.deny hab ich schon gecheckt, beide leer

ss -nlpt

systemctl status --no-pager

ziemlich lang, brauchst du da mehr?

ich hab jetzt versucht, von diversen hosts aus eine ssl verbindung aufzubauen:
Win/Putty - Nein
anderes Debian8 - Nein
Debian5 - JA
Debian6 - JA
SUSE11 - JA

:confused:

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

20.04.2016 - 10:52

Zitat von Umlüx
ich hab jetzt versucht, von diversen hosts aus eine ssl verbindung aufzubauen:
Win/Putty - Nein
anderes Debian8 - Nein
Debian5 - JA
Debian6 - JA
SUSE11 - JA

pingen geht von allen?

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 9213

20.04.2016 - 10:56

ping überall ok

ich hab echt nix geändert am host. die schwestermaschine (ebenfalls Debian8 MySql für replikation, parallel dazu aufgesetzt, alles gleich wie am ersten host) rennt einwandfrei. kann aber auch keinen ssh zum ersten aufbauen

edit: grade gemerkt, dass der phpmyadmin auf der kiste auch nicht mehr erreichbar ist.
die apache defaultpage kommt, phpmyadmin ist 404

irgendwas läuft hier gerade grundsätzlich falsch mit den teil.

Bearbeitet von Umlüx am 20.04.2016, 10:58

Luka

Vereinsmitglied
...

Registered: Nov 2006
Location: Mödling
Posts: 205

20.04.2016 - 11:10

Der OpenSSH-Server lässt sich sehr einfach debuggen:

Starte am Server einen zweiten SSH-Daemon auf Port 2222:
Code:
```
/usr/sbin/sshd -D -d -e -p 2222
```
Schneide clientseitig den Netzwerkverkehr mit (inklusive DNS):
Code:
```
sudo tcpdump -i <interface> port 2222 or port 53
```
Verbinde dich zum Server:
Code:
```
ssh -vvv -p 2222 <server>
```

Bearbeitet von Luka am 20.04.2016, 11:10

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 9213

20.04.2016 - 11:25

ich glaub de da fehlt aber noch was?

connect to mysql1 port 2222: Connection refused

Luka

Vereinsmitglied
...

Registered: Nov 2006
Location: Mödling
Posts: 205

20.04.2016 - 11:30

Eine Firewall könnte den Port 2222 blockieren. Du kannst auch den normalen SSH-Daemon stoppen, dann muss man nicht auf einen anderen Port ausweichen.

Bearbeitet von Luka am 20.04.2016, 11:40

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 9213

20.04.2016 - 11:33

keine firewall aktiv. hab sogar iptables testweise komplett gestoppt

mr.nice.

security baseline pusher

Registered: Jun 2004
Location: Wien
Posts: 6747

20.04.2016 - 11:42

Win/Putty - Nein
anderes Debian8 - Nein
Debian5 - JA
Debian6 - JA
SUSE11 - JA

Das klingt für mich danach, dass es ein Problem mit der Aushandlung der Verschlüsselung bzw. der SSH Version gibt.

Bearbeitet von mr.nice. am 20.04.2016, 11:43

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 9213

20.04.2016 - 11:49

hab ich mir auch schon gedacht. aber wieso auf einmal? habe nichts geändert oder upgedatet.

anbei ein verbindungsversuch debian8->debian8

debug_213300.txt (downloaded 138x)

kleinerChemiker

Here to stay

Registered: Feb 2002
Location: Wien
Posts: 4359

20.04.2016 - 12:34

Ich kenn mich da eigentlich nicht aus, aber könnte ein Zertifikat ausgelaufen sein?

Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 9213	20.04.2016 - 09:41 die woche will mich aktuell echt fertigmachen.. ich habe probleme mit meinem debian8 mysql server. bis gestern lief die kiste natürlich noch einwandfrei. alles hat damit angefangen, dass meine intranet scripte fehler geschmissen haben: Code: `2013 : Lost connection to MySQL server at 'reading authorization packet', system error: 2` danach musste ich feststellen, dass ich auf einmal per ssh auch nicht mehr reinkomme.. Access denied nach root pw eingabe?! lokal über das XenCenter Terminal (die kiste ist eine VM) komm ich noch problemlos rein, mir fehlt aber ein ansatz für das problem PermitRootLogin Yes in der sshd.conf ist gesetzt iptables alles auf Allow bind-address in der my.cnf ist auf die korrekte IP gesetzt und ein testweises erhöhen von connect_timeout wie ich es ergoogelt habe bringt auch nix. was kann ich noch tun? DANKE!
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	20.04.2016 - 09:54 SELinux auf der Kiste? (Das macht bei mir undefinierbare Probleme regelmäßig)
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 9213	20.04.2016 - 10:03 nein, anscheinend nicht. (musste jetzt erstmal nachsehen, was das überhaupt ist. "sestatus" kennt er nicht) edit: SSH loglevel auf verbose gedreht, jedoch loggt er nichtmal die versuche in der auth.log mit Bearbeitet von Umlüx am 20.04.2016, 10:12
Luka Vereinsmitglied ... Registered: Nov 2006 Location: Mödling Posts: 205	20.04.2016 - 10:34 Möglicherweise wird die Verbindung von TCP-Wrapper zurückgesetzt. Poste mal den Inhalt der Dateien /etc/hosts.allow und /etc/hosts.deny. Bearbeitet von Luka am 20.04.2016, 10:35
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12312	20.04.2016 - 10:35 Es gibt keine (von irgendjemandem gepflegte und sinnvolle) SELinux Policy fuer Debian. Hast du OpenSSH nach den Konfigurationsaenderungen neu gestartet? Laeuft ein syslog Daemon (vermutlich rsyslog)? Haeng mal einen Screenshot von `ss -nlpt` und `systemctl status --no-pager` hier rein.
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 9213	20.04.2016 - 10:45 hosts.allow und hosts.deny hab ich schon gecheckt, beide leer ss -nlpt systemctl status --no-pager ziemlich lang, brauchst du da mehr? ich hab jetzt versucht, von diversen hosts aus eine ssl verbindung aufzubauen: Win/Putty - Nein anderes Debian8 - Nein Debian5 - JA Debian6 - JA SUSE11 - JA
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	20.04.2016 - 10:52 Zitat von Umlüx ich hab jetzt versucht, von diversen hosts aus eine ssl verbindung aufzubauen: Win/Putty - Nein anderes Debian8 - Nein Debian5 - JA Debian6 - JA SUSE11 - JA pingen geht von allen?
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 9213	20.04.2016 - 10:56 ping überall ok ich hab echt nix geändert am host. die schwestermaschine (ebenfalls Debian8 MySql für replikation, parallel dazu aufgesetzt, alles gleich wie am ersten host) rennt einwandfrei. kann aber auch keinen ssh zum ersten aufbauen edit: grade gemerkt, dass der phpmyadmin auf der kiste auch nicht mehr erreichbar ist. die apache defaultpage kommt, phpmyadmin ist 404 irgendwas läuft hier gerade grundsätzlich falsch mit den teil. Bearbeitet von Umlüx am 20.04.2016, 10:58
Luka Vereinsmitglied ... Registered: Nov 2006 Location: Mödling Posts: 205	20.04.2016 - 11:10 Der OpenSSH-Server lässt sich sehr einfach debuggen: Starte am Server einen zweiten SSH-Daemon auf Port 2222: Code: `/usr/sbin/sshd -D -d -e -p 2222` Schneide clientseitig den Netzwerkverkehr mit (inklusive DNS): Code: `sudo tcpdump -i <interface> port 2222 or port 53` Verbinde dich zum Server: Code: `ssh -vvv -p 2222 <server>` Bearbeitet von Luka am 20.04.2016, 11:10
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 9213	20.04.2016 - 11:25 ich glaub de da fehlt aber noch was? connect to mysql1 port 2222: Connection refused
Luka Vereinsmitglied ... Registered: Nov 2006 Location: Mödling Posts: 205	20.04.2016 - 11:30 Eine Firewall könnte den Port 2222 blockieren. Du kannst auch den normalen SSH-Daemon stoppen, dann muss man nicht auf einen anderen Port ausweichen. Bearbeitet von Luka am 20.04.2016, 11:40
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 9213	20.04.2016 - 11:33 keine firewall aktiv. hab sogar iptables testweise komplett gestoppt
mr.nice. security baseline pusher Registered: Jun 2004 Location: Wien Posts: 6747	20.04.2016 - 11:42 Win/Putty - Nein anderes Debian8 - Nein Debian5 - JA Debian6 - JA SUSE11 - JA Das klingt für mich danach, dass es ein Problem mit der Aushandlung der Verschlüsselung bzw. der SSH Version gibt. Bearbeitet von mr.nice. am 20.04.2016, 11:43
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 9213	20.04.2016 - 11:49 hab ich mir auch schon gedacht. aber wieso auf einmal? habe nichts geändert oder upgedatet. anbei ein verbindungsversuch debian8->debian8 debug_213300.txt (downloaded 138x)
kleinerChemiker Here to stay Registered: Feb 2002 Location: Wien Posts: 4359	20.04.2016 - 12:34 Ich kenn mich da eigentlich nicht aus, aber könnte ein Zertifikat ausgelaufen sein?

Problem mit Debian8 MySQL Server

Forum Index > Software > Linux and other OS

Umlüx

Hansmaulwurf

Umlüx

Luka

COLOSSUS

Umlüx

Hansmaulwurf

Umlüx

Luka

Umlüx

Luka

Umlüx

mr.nice.

Umlüx

kleinerChemiker