[Eisfair] [E64] ssh: Corrupted MAC on input

Rolf Bensch azubi at bensch-net.de
Do Apr 9 13:26:31 CEST 2020 

Hallo NG,

ein NAS (Synology) macht täglich rsync-Backups von mehreren Ressourcen, 
u.a. einem neu aufgesetzten E64. Auf dem E64 bricht die Verbindung nach 
15 - 30 Minuten ab:

    ssh_dispatch_run_fatal: Connection to 192.168.0.206 port 22: message 
authentication code incorrect

    rsync error: rsync service is no running (code 43) at io.c(687) 
[receiver=3.0.9]
    rsync error: unexplained error (code 255) at io.c(687) [generator=3.0.9]

ein Check mit "ssh -vvv" liefert zuvor

    Corrupted MAC on input

die Befehlszeile ist:

    rsync -av --progress root at 192.168.0.206:/home/ 
/volume1/Backups/[Zielordner]/

Das läuft auf _allen_ Quellen korrekt ab, nur eben nicht auf dem neuen E64.

Der E64 ist unter KVM virtualisiert. Ein Backup vom KVM-Host läuft 
ebenfalls problemlos, somit scheidet ein Netzwerkkarten-Problem aus, es 
sei denn, es ist auf dem E64-Client (NIC über Bridge als virtio)

Im Netz gibt es viele Hinweise zur Einschränkung von MAC und Cipher. 
Habe daher die default-Einträge auf dem E64 angepasst:

    SSH_SERVER_CIPHERS   = 
aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm at openssh.com,aes256-gcm at openssh.com,aes128-cbc,aes192-cbc,aes256-cbc
    SSH_SERVER_KEXS      =  default
    SSH_SERVER_MACS      =  hmac-sha2-256

Mit "ssh -vvv" bekomme ich auch bestätigt, dass diese Einstellungen greifen:

    debug1: kex: server->client cipher: aes128-ctr MAC: 
umac-128-etm at openssh.com compression: none
    debug1: kex: client->server cipher: aes128-ctr MAC: 
umac-128-etm at openssh.com compression: none

Das spielt aber keine Rolle, die Abbrüche bleiben bestehen.

Ich hatte auch versucht die MAC und Cipher über die Befehlszeile zu 
steuern - also von Seiten des Clients aus -, aber auch das brachte keine 
Änderung.

Weitere Hinweise aus dem Netz beziehen sich auf die Konfig der 
Netzwerkschnittstelle. Daher auf dem E64:

    ethtool -K eth0 rx off tx off

ohne Verbesserung

Dann gab's noch Hinweise auf die Systemlast des NAS. Habe daher 
testweise rsync mit "nice = 5 rsync.... " gestartet - ebenfalls ohne 
Verbesserung.

Hat jemand eine Idee?

Grüße Rolf

Mehr Informationen über die Mailingliste Eisfair