Регистрация событий ('nss':'nss') was terminated by own WATCHDOG. Consult corresponding службы SSSD
Диагностические шаги:
~]# journalctl -u sssd.service
hostname.domain.ru sssd[sssd][36481]: Child [105359] ('nss':'nss') was terminated by own WATCHDOG. Consult corresponding logs to figure out the reason.
hostname.domain.ru sssd[nss][111051]: Starting up
hostname.domain.ru sssd[nss][111152]: Starting up
hostname.domain.ru sssd[nss][111165]: Starting up
hostname.domain.ru sssd[sssd][36481]: Exiting the SSSD. Could not restart critical service [nss].
hostname.domain.ru sssd[ssh][36566]: Shutting down
hostname.domain.russsd[pam][36565]: Shutting down
hostname.domain.russsd[be[DOMAIN.RU]][36497]: Shutting down
hostname.domain.ru systemd[1]: sssd.service: main process exited, code=exited, status=1/FAILURE
hostname.domain.ru systemd[1]: Unit sssd.service entered failed state.
hostname.domain.ru systemd[1]: sssd.service failed.
Решение:
В конфигурационный файл /etc/sssd/sssd.conf для секци [domain/...] добавить timeout
[domain/DOMAIN.RU]
timeout = 20
По умолчанию значение timeout = 10
Диагностические шаги:
~]# journalctl -u sssd.service
hostname.domain.ru sssd[sssd][36481]: Child [105359] ('nss':'nss') was terminated by own WATCHDOG. Consult corresponding logs to figure out the reason.
hostname.domain.ru sssd[nss][111051]: Starting up
hostname.domain.ru sssd[nss][111152]: Starting up
hostname.domain.ru sssd[nss][111165]: Starting up
hostname.domain.ru sssd[sssd][36481]: Exiting the SSSD. Could not restart critical service [nss].
hostname.domain.ru sssd[ssh][36566]: Shutting down
hostname.domain.russsd[pam][36565]: Shutting down
hostname.domain.russsd[be[DOMAIN.RU]][36497]: Shutting down
hostname.domain.ru systemd[1]: sssd.service: main process exited, code=exited, status=1/FAILURE
hostname.domain.ru systemd[1]: Unit sssd.service entered failed state.
hostname.domain.ru systemd[1]: sssd.service failed.
Решение:
В конфигурационный файл /etc/sssd/sssd.conf для секци [domain/...] добавить timeout
[domain/DOMAIN.RU]
timeout = 20
По умолчанию значение timeout = 10
Повышение безопасности путем отключения шрифтов шифрования
Создание резервной копии конфигурационного файла sshd_config:
~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config_$(date +%Y%m%d)
Убедиться в отсутствии строки с ciphers:
~]# grep ciphers /etc/ssh/sshd_config
В случае отсутствия строки, выполните команду для исключения слабых шрифтов шифрования:
~]# sshd -T | grep ciphers | sed -e "s/\(3des-cbc\|aes128-cbc\|aes192-cbc\|aes256-cbc\|arcfour\|arcfour128\|arcfour256\|blowfish-cbc\|cast128-cbc\|rijndael-cbc@lysator.liu.se\)\,\?//g" >> /etc/ssh/sshd_config
Перезапустите службу sshd для применения настроек
~]# systemctl restart sshd
Для отключения RC4 и использовать защищенные шифры на SSH-сервере:
~]# ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
Вы можете проверить шифры, используемые в настоящее время вашим сервером
~]# shd -T | grep ciphers | perl -pe 's/,/\n/g' | sort -u
Для согласованиия SSH-клиенту только безопасные шифры с удаленными серверами. Добавьте в /etc/ssh/ssh_config
Host *
ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
Создание резервной копии конфигурационного файла sshd_config:
~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config_$(date +%Y%m%d)
Убедиться в отсутствии строки с ciphers:
~]# grep ciphers /etc/ssh/sshd_config
В случае отсутствия строки, выполните команду для исключения слабых шрифтов шифрования:
~]# sshd -T | grep ciphers | sed -e "s/\(3des-cbc\|aes128-cbc\|aes192-cbc\|aes256-cbc\|arcfour\|arcfour128\|arcfour256\|blowfish-cbc\|cast128-cbc\|rijndael-cbc@lysator.liu.se\)\,\?//g" >> /etc/ssh/sshd_config
Перезапустите службу sshd для применения настроек
~]# systemctl restart sshd
Для отключения RC4 и использовать защищенные шифры на SSH-сервере:
~]# ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
Вы можете проверить шифры, используемые в настоящее время вашим сервером
~]# shd -T | grep ciphers | perl -pe 's/,/\n/g' | sort -u
Для согласованиия SSH-клиенту только безопасные шифры с удаленными серверами. Добавьте в /etc/ssh/ssh_config
Host *
ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
Интеграция RHEL8 с несколькими Active Directory. Multidomain
https://github.com/NotesLinuxAdministrator/Multidomain.RHEL8.git
https://github.com/NotesLinuxAdministrator/Multidomain.RHEL8.git
GitHub
GitHub - NotesLinuxAdministrator/Multidomain.RHEL8: Интеграция RHEL8 с несколькими Active Directory. Multidomain
Интеграция RHEL8 с несколькими Active Directory. Multidomain - GitHub - NotesLinuxAdministrator/Multidomain.RHEL8: Интеграция RHEL8 с несколькими Active Directory. Multidomain