Troubleshooting
Problem
コンソールから SSH を使用できない場合は、SSH キーが破損しているか、アクセス許可に問題がある可能性があります。この技術書では、これらのタイプの問題を診断して解決する方法についてご案内します。
Resolving The Problem
コンソールからSSH接続できない場合、以下の例では、管理者に QRadar でのトンネル接続を妨げる原因と回避策の概要を示しています。
Managed Tunnel Key directory ( コンソールのみ )
アプライアンス間の接続が適切に作成されていれば、コンソールは暗号化されたホストごとに 1 つのキーを持っているはずです。管理者はシステムを確認して、各ホストがキーを持ち、その所有権が下記の例で定義されている通りであることを確認できます。
/store/configservices/staging/globalconfig/ssh_public_keys/
/store/configservices/staging/globalconfig/ssh_public_keys/
[root@Console-1 ~]# ls -al /store/configservices/staging/globalconfig/ssh_public_keys/
drwxr-xr-x 2 nobody nobody 62 May 2 20:19 .
rwxrwxr-x 9 nobody nobody 24576 May 3 10:10 ..
-rw-r--r-- 1 nobody nobody 406 May 2 18:25 Console_key
-rw-r--r-- 1 nobody nobody 409 May 2 18:27 host_103_key
rw-r--r-- 1 nobody nobody 409 May 2 20:19 host_104_key
/root/.ssh ディレクトリ内の権限を確認します。 ( コンソールと管理対象ホスト )
.ssh ディレクトリのアクセス許可は 700 で、ディレクトリ内のファイルは 600 である必要があります。コンソール・アプライアンスと管理対象ホストの場合、確認するファイルは /root/.ssh ディレクトリにあります。管理者は、ディレクトリ /root/.ssh/ および SSH ファイルのアクセス許可を確認して修正します。
回避策
権限が正しくない場合、管理者は以下の手順に従って権限を更新する必要があります。
[root@Console-1 .ssh]# ls -la .ssh/
total 24
drwx------ 2 root root 4096 May 2 18:35 .
dr-xr-x---. 4 root root 4096 May 2 18:38 ..
-rw------- 1 root nobody 426 May 2 18:35 authorized_keys
-rw------- 1 root nobody 1675 May 2 18:25 id_rsa
-rw------- 1 root nobody 406 May 2 18:25 id_rsa.pub
-rw------- 1 root root 788 May 2 18:25 known_hosts
回避策
権限が正しくない場合、管理者は以下の手順に従って権限を更新する必要があります。
[root@Console-1~]# chmod 700 /root/.ssh
[root@Console-1~]# chmod 600 /root/.ssh/*
コンソールの公開鍵ファイルが管理対象ホストに存在することを確認します。
コンソールの id_rsa.pub がリモート・ホストの /root/.ssh/authorized_keys にない場合、またはローカルの公開鍵/秘密鍵がない場合は、SSH セッションがパスワードを要求します。認証された鍵がないことによるこのパスワード要求は、トンネルが正しく作成されるのを妨げる可能性があります。
回避策
[root@Console-1 ~]# ssh 192.0.2.11
- SSH public key login from managed hosts to the Console is no longer automatic.
- SSH public key login from a QFlow to a Flow Processor is still automatic.
回避策
- root ユーザーとして SSH セッションを使用してコンソールにログインします。
- 次のコマンドを使用してキーをコピーします:ssh-copy-id user @ host
コマンドと出力の例
#ssh-copy-id root@192.168.0.84 /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub" /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new key root@192.168.0.84's password: Number of key(s) added: 1 Now try logging into the machine, with: "ssh 'root@192.168.0.84'" and check to make sure that only the key(s) you wanted were added.
リモート・ホストの SSH 公開鍵が、ローカル・ホスト /root/.ssh/known_hosts にあるのは間違いです。
ホストの公開鍵が間違っていると、SSH 接続が確立できない原因となります。標準的な SSH セッションが確立できない場合、管理対象のホストをトンネルを使用して追加しようとしても正しく追加できません。以下の情報は、既知の SSH ホストの問題を確認する方法の概要を示しています。
以下の例では、known_hosts リストにキーが見つからないため、コンソールから管理対象ホストへの標準 SSH セッションを開こうとしても完了できません。
説明
エラー・メッセージ " Offending key in /root/.ssh/known_hosts: 2 " は、known_hosts ファイルの 2 行目が正しくないことを管理者に示しています。管理者は、フィンガープリントを比較することができます。
エラー・メッセージは次のようになります。
回避策
管理者は以下のコマンドを使用して、2 行目を修正または削除することができます。2 行目が削除または修正後、管理者は SSH 接続を試みると known_hosts リストの更新を促すプロンプトが表示される、または鍵が修正された場合は、ユーザーにプロンプトを表示せずに SSH セッションが確立されます。
以下の例では、known_hosts リストにキーが見つからないため、コンソールから管理対象ホストへの標準 SSH セッションを開こうとしても完了できません。
[root@QRadar-3100 .ssh]# ssh 192.168.0.77
説明
エラー・メッセージ " Offending key in /root/.ssh/known_hosts: 2 " は、known_hosts ファイルの 2 行目が正しくないことを管理者に示しています。管理者は、フィンガープリントを比較することができます。
エラー・メッセージは次のようになります。
Last login: Tue May 3 16:32:30 2016 from 192.168.0.75
This server was upgraded to QRadar 7.2.6.20151107134559 on Thu Apr 7 16:05:15 EDT 2016
with patch 7.2.6.20160405164932 applied on Mon Apr 11 14:00:17 EDT 2016
[root@Qradar726-1201 ~]# ssh 192.168.0.76
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @@@
>@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
bd:36:16:a8:00:2a:c9:56:6d:e2:26:eb:8d:66:3f:d5.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending key in /root/.ssh/known_hosts:2
RSA host key for 192.168.0.76 has changed and you have requested strict checking.
Host key verification failed.
回避策
管理者は以下のコマンドを使用して、2 行目を修正または削除することができます。2 行目が削除または修正後、管理者は SSH 接続を試みると known_hosts リストの更新を促すプロンプトが表示される、または鍵が修正された場合は、ユーザーにプロンプトを表示せずに SSH セッションが確立されます。
- SSH セッションを使用して QRadar コンソールにログインします。
- エラー・メッセージがコンソールで表示されていない場合は、問題のある管理対象ホストに SSH で接続してください。
- プロンプトで次のように入力します。
ssh-keygen -R <IP of host> 192.168.0.76 ssh-keygen -R 192.168.0.762 行目が 192.168.0.76 に応答する例。ssh-keygen -R 192.168.0.76
Related Information
Document Location
Worldwide
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"Deploy","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
02 February 2022
UID
ibm11285036