edit-icon download-icon

ECS Linux SSHへのリモートログオンに失敗した場合のトラブルシューティング方法

最終更新日: Apr 17, 2018

注意:この文書はCentOS 6.5 64ビットをベースにしていますが、他のLinuxオペレーティングシステムの設定は異なる場合があります。 関連するオペレーティングシステムの公式ドキュメントを常に参照してください。

注意:Linux ECSの場合、SSHクライアントはO&Mの主要チャネルです。管理端末は、緊急のO&M、またはクライアントのログオン中に例外が発生した場合のトラブルシューティングに使用できます。

ログオンの失敗の原因

Linux ECSインスタンスへのクライアントログオンについては、次の図を参照してください。

SSH_logon

考えられる原因 分析

クライアントの問題

別の異なるSSHクライアントを試して、同じアカウント情報を使用してログオンをテストしてください。 テストログオンが成功すると、クライアント構成に問題があると判断され、クライアント構成またはソフトウェア操作のトラブルシューティングが必要になります。
Linux ECSインスタンスのログオン処理の詳細については、インスタンスへのログオンを参照してください。

中間ネットワークの問題

telnetを実行する<server ip><ssh server port>例えばtelnet 192.168.0.1 22を実行してテスト用のポートをtelnetし、問題が中間的なネットワーク例外によって引き起こされているかどうか調べます。 通常、次の図に示すように、サーバー側のSSHソフトウェアのバージョン番号が返されます。
symptom1
ポートテストが失敗した場合は、次のドキュメントを参照して、クライアントとサーバー間のネットワークのトラブルシューティングをさらに進めてください。
- pingパケットロスまたはping失敗のリンクテスト
- ping可能だが到達できないポートの可用性のポート検出

PAMセキュリティフレームワークの問題

LinuxシステムのPAMセキュリティフレームワークは、サーバーアカウントポリシーとログオンポリシーに対するアクセス制御のための関連セキュリティモジュールの読み込みをサポートしています。 構成が異常であるか、または関連するポリシーがトリガーされています。

Linux環境設定の問題

Linuxシステム環境(ウイルス攻撃、アカウント構成、環境変数設定など)に例外が発生すると、SSHログオンに失敗する可能性もあります。

SSHサービスとパラメータ設定の問題

SSHサービスのデフォルト設定ファイルは/etc/ssh/sshd_configです。 構成ファイル内の関連する構成パラメータに例外があるか、関連する機能またはポリシーがアクティブ化されていると、SSHログオンに失敗する可能性があります。

SSHサービス関連のディレクトリまたはファイル設定の問題

セキュリティのために、SSHサービスは実行時にアクセス許可の設定と関連するディレクトリまたはファイルのグループをチェックします。 権限の設定が高すぎたり低すぎたりすると、サービス操作の例外が発生したり、クライアントのログオンに失敗することがあります。

SSHサービスキー設定の問題

SSHサービスは、非対称暗号化を使用して送信データを暗号化します。 クライアントとサーバは、関連する鍵情報の妥当性を交換し、検証する。

SSHログオン障害のトラブルシューティング手順

トラブルシューティングの詳細については、次の手順を実行できます。

  1. 複数のクライアントの比較とテスト:

    1. 異なるSSHクライアントとManagement Terminal (VNC) を使用した ECS インスタンスへの接続を使用して、比較アクセステストを実行します。
    2. 問題が個々のクライアントの構成によって発生するのか、個々のソフトウェア操作の問題であるのかを特定します。
    3. 管理端末を介したログオンが正常であれば、管理端末を使用して、そのインスタンスにアクセスしてさらに検査を行います。
  2. ネットワーク接続をテストします。前の中間ネットワーク問題の手順を参照してください。

  3. サーバーログを取得する:

    1. Management Terminal (VNC) を使用した ECS インスタンスへの接続を使用してインスタンスにアクセスします。
    2. クライアント上のアクセス再テスト中に tail -f /var/log/secureを実行してインスタンスに関する関連ログ情報を同期的に取得します。
  4. クライアントログを取得する:次のコードブロックを実行して、詳細なSSHログオンインタラクティブログを取得します。

    1. ssh -vvv <sever ip>
    2. 例えば:
    3. [root @ centos〜]#ssh -vvv 192.168.0.1
    4. OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013
    5. debug1: Reading configuration data /etc/ssh/ssh_config
    6. debug1: Applying options for *
    7. debug2: ssh_connect: needpriv 0
    8. debug1: Connecting to 192.168.0.1 [192.168.0.1] port 22.
    9. debug1: connect to address 192.168.0.1 port 22: Connection timed out
    10. ssh: connect to host 192.168.0.1 port 22: Connection timed out
  5. SSHサービスの実行状態を確認します。

    1. Management Terminal (VNC) を使用した ECS インスタンスへの接続を使用してインスタンスにアクセスします。
    2. 次のコードブロックを実行して、SSHサービスおよび対応するプロセスPIDの実行状態を確認します。

      1. [root @ centos〜]#service sshd status
      2. openssh-daemon (pid 31350) is running...
      3. [root@centos ~]# service sshd restart
      4. Stopping sshd:
      5. [ OK ]
      6. Starting sshd:
      7. [ OK ]
    3. 次のコードブロックを実行して、サービスのリスニング状態と対応するポートリスニング情報を確認します。
      1. netstat -ano | grep 0.0.0.0:22
      2. tcp 0 0 0.0.0.0:22 0.0.0.0:*
      3. LISTEN off (0.00/0/0)
    4. Management Terminal (VNC) を使用した ECS インスタンスへの接続を使用してインスタンスにアクセスし、 ssh 127.0.0.1を実行してログオンをテストします。 ログオンが成功した場合、例外はファイアウォールまたは外部セキュリティグループポリシーによって発生したものと推測できます。

問題が解決しない場合は、チケットを起票の上「SB Cloud サポートセンター」にお問い合わせください。