info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Re: sshd[PID]: fatal: recv_rexec_state: parse config: incomplete message
145 views
Skip to first unread message
Eugene Grosbein
May 18, 2022, 2:01:03 AM5/18/22
to
17 мая 2022, вторник, в 00:52 NOVT, Dmitriy Smirnov написал(а):
DS> еще начиная, вроде, с 13.1-RC4 и тут уже на 13.1-RELEASE sshd начал
DS> отфутболивать с сабжем в логах, ловил такое поведение на разных хостах, на
DS> разном аптайме, помогал рестарт демона, но некоторых хостах такое не
DS> выстреливало при этом вообще. Конфиг дефолтный, каких-либо извращений нет.
DS> Любопытно более "parse config: incomplete message", нежели жизнь на 13й
DS> ветке с
DS> ZoL и шифрованием искаропки =)
Самое минимальное гугление по сабжу сразу даёт ответ:
такое происходит, если после установки свежего бинарника sshd
не рестартовать демона, а оставить работать ранее запущенную старую версию,
тогда он при попытке запустить ребятенка (exec) для обслуживания
нового подключения не может с ребятенком договориться,
так как внутренний протокол общения копий sshd между собой
разный в разных версиях.
В общем, после installworld надо ребутнуться.
Eugene
--
Поэты - страшные люди. У них все святое.
DS> еще начиная, вроде, с 13.1-RC4 и тут уже на 13.1-RELEASE sshd начал
DS> отфутболивать с сабжем в логах, ловил такое поведение на разных хостах, на
DS> разном аптайме, помогал рестарт демона, но некоторых хостах такое не
DS> выстреливало при этом вообще. Конфиг дефолтный, каких-либо извращений нет.
DS> Любопытно более "parse config: incomplete message", нежели жизнь на 13й
DS> ветке с
DS> ZoL и шифрованием искаропки =)
Самое минимальное гугление по сабжу сразу даёт ответ:
такое происходит, если после установки свежего бинарника sshd
не рестартовать демона, а оставить работать ранее запущенную старую версию,
тогда он при попытке запустить ребятенка (exec) для обслуживания
нового подключения не может с ребятенком договориться,
так как внутренний протокол общения копий sshd между собой
разный в разных версиях.
В общем, после installworld надо ребутнуться.
Eugene
--
Поэты - страшные люди. У них все святое.
Alex Korchmar
May 18, 2022, 3:01:02 AM5/18/22
to
Eugene Grosbein <Eugene....@f1.n5006.z2.fidonet.org> wrote:
EG> Самое минимальное гугление по сабжу сразу даёт ответ:
EG> такое происходит, если после установки свежего бинарника sshd
EG> не рестартовать демона, а оставить работать ранее запущенную старую версию,
даже это поулучшайкали...
Кстати, мне тут поулучшайкали command="" - теперь он срезает параметры, то есть
command теперь обязательно должна их включать, переданные извне отбрасываются.
Без упоминания в notes, без всяких предупреждений, где-то в minor update.
И похрен что двадцать лет работало до этих умников.
Соответственно, все мои старые решения с ограничением ключа доступом только,
к примеру, к rsync, поломаны. Можно конечно костылить скриптами, добавляя новых
и новых attack surface, но я уже не буду, просто выключу ограничитель.
> Alex
P.S. выгул собак, дешево. Покормлю, помою лапки, выну изо рта кошку.
EG> Самое минимальное гугление по сабжу сразу даёт ответ:
EG> такое происходит, если после установки свежего бинарника sshd
EG> не рестартовать демона, а оставить работать ранее запущенную старую версию,
даже это поулучшайкали...
Кстати, мне тут поулучшайкали command="" - теперь он срезает параметры, то есть
command теперь обязательно должна их включать, переданные извне отбрасываются.
Без упоминания в notes, без всяких предупреждений, где-то в minor update.
И похрен что двадцать лет работало до этих умников.
Соответственно, все мои старые решения с ограничением ключа доступом только,
к примеру, к rsync, поломаны. Можно конечно костылить скриптами, добавляя новых
и новых attack surface, но я уже не буду, просто выключу ограничитель.
> Alex
P.S. выгул собак, дешево. Покормлю, помою лапки, выну изо рта кошку.
Eugene Grosbein
May 18, 2022, 4:01:02 AM5/18/22
to
18 мая 2022, среда, в 09:26 NOVT, Alex Korchmar написал(а):
EG>> Самое минимальное гугление по сабжу сразу даёт ответ:
EG>> такое происходит, если после установки свежего бинарника sshd
EG>> не рестартовать демона, а оставить работать ранее запущенную старую
EG>> версию,
AK> даже это поулучшайкали...
AK> Кстати, мне тут поулучшайкали command="" - теперь он срезает параметры, то
AK> есть
AK> command теперь обязательно должна их включать, переданные извне
AK> отбрасываются.
Эмм, а что, так можно было? Всегда читал параметры в таких командах
через stdin, уже не помню почему, но вероятно потому что где-то прочитал,
что нужно именно так.
AK> P.S. выгул собак, дешево. Покормлю, помою лапки, выну изо рта кошку.
Скорей бы.
EG>> Самое минимальное гугление по сабжу сразу даёт ответ:
EG>> такое происходит, если после установки свежего бинарника sshd
EG>> не рестартовать демона, а оставить работать ранее запущенную старую
AK> даже это поулучшайкали...
AK> Кстати, мне тут поулучшайкали command="" - теперь он срезает параметры, то
AK> есть
AK> command теперь обязательно должна их включать, переданные извне
AK> отбрасываются.
Эмм, а что, так можно было? Всегда читал параметры в таких командах
через stdin, уже не помню почему, но вероятно потому что где-то прочитал,
что нужно именно так.
AK> P.S. выгул собак, дешево. Покормлю, помою лапки, выну изо рта кошку.
Скорей бы.
Alex Korchmar
May 18, 2022, 12:01:03 PM5/18/22
to
Eugene Grosbein <Eugene....@f1.n5006.z2.fidonet.org> wrote:
EG> Эмм, а что, так можно было? Всегда читал параметры в таких командах
двадцать лет все работало.
EG> через stdin, уже не помню почему, но вероятно потому что где-то прочитал,
ну нахера мне это все надо когда задача - чтоб по этому ключу
запускался rsync, и больше - ничего? До последних улучшизмов
command="/usr/bin/rsync" вполне работала. Параметры брались из оригинала.
Параметры там вместе с original command передаются с недавних пор
в переменной, но парсить ее вручную я не буду. Hу нет костыля,
значит больше его нет. Векторов атаки стало чуть больше и они стали
универсальнее, подумаешь...
AK>> P.S. выгул собак, дешево. Покормлю, помою лапки, выну изо рта кошку.
EG> Скорей бы.
что-то пока нет откликов. Причем своих выгуливать - никого найти ни за какие
деньги не могу. Приходят анорексичные девочки которых ветром
колышет. А у меня 25 кило нерастраченной дома энергии обрывают поводок
вместе с руками.
Или даже не приходят а исчезают за день до назначенной даты (причем
это девочки из фирмы которая якобы отвечает за предоставление услуги.
А по факту гребет себе 60% моих денег)
> Alex
EG> Эмм, а что, так можно было? Всегда читал параметры в таких командах
двадцать лет все работало.
EG> через stdin, уже не помню почему, но вероятно потому что где-то прочитал,
ну нахера мне это все надо когда задача - чтоб по этому ключу
запускался rsync, и больше - ничего? До последних улучшизмов
command="/usr/bin/rsync" вполне работала. Параметры брались из оригинала.
Параметры там вместе с original command передаются с недавних пор
в переменной, но парсить ее вручную я не буду. Hу нет костыля,
значит больше его нет. Векторов атаки стало чуть больше и они стали
универсальнее, подумаешь...
AK>> P.S. выгул собак, дешево. Покормлю, помою лапки, выну изо рта кошку.
что-то пока нет откликов. Причем своих выгуливать - никого найти ни за какие
деньги не могу. Приходят анорексичные девочки которых ветром
колышет. А у меня 25 кило нерастраченной дома энергии обрывают поводок
вместе с руками.
Или даже не приходят а исчезают за день до назначенной даты (причем
это девочки из фирмы которая якобы отвечает за предоставление услуги.
А по факту гребет себе 60% моих денег)
> Alex
0 new messages