• sshd[PID]: fatal: recv_rexec_state: parse config: incomplete message

    From Dmitriy Smirnov@2:5010/352 to All on Tue May 17 00:52:23 2022
    hi, All!

    еще начиная, вроде, с 13.1-RC4 и тут уже на 13.1-RELEASE sshd начал отфутболивать с сабжем в логах, ловил такое поведение на разных хостах, на разном аптайме, помогал рестарт демона, но некоторых хостах такое не выстреливало при этом вообще. Конфиг дефолтный, каких-либо извращений нет. Любопытно более "parse config: incomplete message", нежели жизнь на 13й ветке с ZoL и шифрованием искаропки =)

    wbr, Dmitriy.
    ---
    * Origin: powered by FreeBSD 12.2-RELEASE-p7 amd64 (2:5010/352)
  • From Dmitriy Smirnov@2:5010/352 to All on Tue May 17 00:59:03 2022
    hi, All!

    17 May 22 00:52, Dmitriy Smirnov wrote to All:

    [skip]

    извращений нет. Любопытно более "parse config: incomplete message",
    нежели жизнь на 13й ветке с ZoL и шифрованием искаропки =)

    хотя нет, вру, 13я ветка интересна еще из-за одноплатников на арме, так что тут дилемма вырисовывается %)

    wbr, Dmitriy.
    ---
    * Origin: powered by FreeBSD 12.2-RELEASE-p7 amd64 (2:5010/352)
  • From Eugene Grosbein@2:5006/1 to Dmitriy Smirnov on Wed May 18 12:44:32 2022
    Subject: Re: sshd[PID]: fatal: recv_rexec_state: parse config: incomplete
    message

    17 мая 2022, вторник, в 00:52 NOVT, Dmitriy Smirnov написал(а):

    еще начиная, вроде, с 13.1-RC4 и тут уже на 13.1-RELEASE sshd начал отфутболивать с сабжем в логах, ловил такое поведение на разных хостах, на разном аптайме, помогал рестарт демона, но некоторых хостах такое не выстреливало при этом вообще. Конфиг дефолтный, каких-либо извращений нет. Любопытно более "parse config: incomplete message", нежели жизнь на 13й ветке с
    ZoL и шифрованием искаропки =)

    Самое минимальное гугление по сабжу сразу даёт ответ:
    такое происходит, если после установки свежего бинарника sshd
    не рестартовать демона, а оставить работать ранее запущенную старую версию, тогда он при попытке запустить ребятенка (exec) для обслуживания
    нового подключения не может с ребятенком договориться,
    так как внутренний протокол общения копий sshd между собой
    разный в разных версиях.

    В общем, после installworld надо ребутнуться.

    Eugene
    --
    Поэты - страшные люди. У них все святое.
    --- slrn/1.0.3 (FreeBSD)
    * Origin: RDTC JSC (2:5006/1@fidonet)
  • From Alex Korchmar@2:5020/400 to Eugene Grosbein on Wed May 18 09:26:14 2022
    From: Alex Korchmar <noreply@linux.e-moe.ru>
    Subject: Re: sshd[PID]: fatal: recv_rexec_state: parse config: incomplete message

    Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

    Самое минимальное гугление по сабжу сразу даёт ответ:
    такое происходит, если после установки свежего бинарника sshd
    не рестартовать демона, а оставить работать ранее запущенную старую версию,
    даже это поулучшайкали...

    Кстати, мне тут поулучшайкали command="" - теперь он срезает параметры, то есть command теперь обязательно должна их включать, переданные извне отбрасываются. Без упоминания в notes, без всяких предупреждений, где-то в minor update.
    И похрен что двадцать лет работало до этих умников.


    Соответственно, все мои старые решения с ограничением ключа доступом только,
    к примеру, к rsync, поломаны. Можно конечно костылить скриптами, добавляя новых и новых attack surface, но я уже не буду, просто выключу ограничитель.


    Alex
    P.S. выгул собак, дешево. Покормлю, помою лапки, выну изо рта кошку.

    --- ifmail v.2.15dev5.4
    * Origin: Demos online service (2:5020/400)
  • From Eugene Grosbein@2:5006/1 to Alex Korchmar on Wed May 18 14:08:16 2022
    Subject: Re: sshd[PID]: fatal: recv_rexec_state: parse config: incomplete
    messag

    18 мая 2022, среда, в 09:26 NOVT, Alex Korchmar написал(а):

    Самое минимальное гугление по сабжу сразу даёт ответ:
    такое происходит, если после установки свежего бинарника sshd
    не рестартовать демона, а оставить работать ранее запущенную старую версию,
    даже это поулучшайкали...
    Кстати, мне тут поулучшайкали command="" - теперь он срезает параметры, то есть
    command теперь обязательно должна их включать, переданные извне отбрасываются.

    Эмм, а что, так можно было? Всегда читал параметры в таких командах
    через stdin, уже не помню почему, но вероятно потому что где-то прочитал,
    что нужно именно так.

    P.S. выгул собак, дешево. Покормлю, помою лапки, выну изо рта кошку.

    Скорей бы.

    Eugene
    --
    Поэты - страшные люди. У них все святое.
    --- slrn/1.0.3 (FreeBSD)
    * Origin: RDTC JSC (2:5006/1@fidonet)
  • From Alex Korchmar@2:5020/400 to Eugene Grosbein on Wed May 18 18:51:55 2022
    From: Alex Korchmar <noreply@linux.e-moe.ru>
    Subject: Re: sshd[PID]: fatal: recv_rexec_state: parse config: incomplete messag

    Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

    Эмм, а что, так можно было? Всегда читал параметры в таких командах
    двадцать лет все работало.

    через stdin, уже не помню почему, но вероятно потому что где-то прочитал,
    ну нахера мне это все надо когда задача - чтоб по этому ключу
    запускался rsync, и больше - ничего? До последних улучшизмов command="/usr/bin/rsync" вполне работала. Параметры брались из оригинала.

    Параметры там вместе с original command передаются с недавних пор
    в переменной, но парсить ее вручную я не буду. Hу нет костыля,
    значит больше его нет. Векторов атаки стало чуть больше и они стали универсальнее, подумаешь...

    P.S. выгул собак, дешево. Покормлю, помою лапки, выну изо рта кошку.
    Скорей бы.
    что-то пока нет откликов. Причем своих выгуливать - никого найти ни за какие деньги не могу. Приходят анорексичные девочки которых ветром
    колышет. А у меня 25 кило нерастраченной дома энергии обрывают поводок
    вместе с руками.
    Или даже не приходят а исчезают за день до назначенной даты (причем
    это девочки из фирмы которая якобы отвечает за предоставление услуги.
    А по факту гребет себе 60% моих денег)

    Alex

    --- ifmail v.2.15dev5.4
    * Origin: Demos online service (2:5020/400)
  • From Dmitriy Smirnov@2:5010/352 to Eugene Grosbein on Thu May 19 12:03:09 2022
    hi, Eugene!

    18 May 22 12:44, Eugene Grosbein wrote to Dmitriy Smirnov:

    [skip]

    В общем, после installworld надо ребутнуться.

    и в самом деле, в одном из апгрейде "забыл" ребутнуть, сейчас проделал апгрейд без контрольного рибута и сабж. Спасибо, продолжаем обживаться на 13й ветке =)

    wbr, Dmitriy.
    ---
    * Origin: powered by FreeBSD 12.2-RELEASE-p7 amd64 (2:5010/352)