Por que recebo erros quando uso o console SSH baseado em navegador para acessar minha instância do Lightsail?
Eu recebo uma mensagem UPSTREAM_ERROR [515], UPSTREAM_NOT_FOUND [519] ou CLIENT_UNAUTHORIZED [769] quando uso o console SSH baseado em navegador para me conectar à minha instância do Amazon Lightsail.
Breve descrição
Se você receber erros relacionados ao SSH ao se conectar à sua instância do Lightsail, poderá ver as seguintes mensagens:
- "Your instance encountered an error and has closed the connection. Try again or contact customer support. UPSTREAM_ERROR [515]"
- "An error occurred and we were unable to connect or stay connected to your instance. If this instance has just started up, try again in a minute or two. UPSTREAM_NOT_FOUND [519]"
- "Login failed. If this instance has just started up, try again in a minute or two. CLIENT_UNAUTHORIZED [769]"
Os erros UPSTREAM_ERROR [515] e UPSTREAM_NOT_FOUND [519] indicam que você não pode acessar sua instância do Lightsail por meio de SSH. A seguir estão os motivos comuns para esses erros:
- Há problemas com a instância, como falha na inicialização, falha na verificação de status ou uso excessivo de recursos.
- Um firewall no nível do sistema operacional está bloqueando o acesso à porta SSH.
- A porta SSH (22) não é a padrão.
- O serviço SSH está inativo.
O erro CLIENT_UNAUTHORIZED [769] indica que existe um problema de autenticação SSH na instância do Lightsail. Veja a seguir os motivos comuns desse erro:
- Você configurou incorretamente a chave do sistema Lightsail em /etc/ssh/lightsail_instance_ca.pub.
- Você atualizou sua versão da instância do Ubuntu para 20.04 ou posterior.
Resolução
Há falha de inicialização de instâncias, falha na verificação de status da instância ou utilização excessiva de recursos
Visualize as métricas da instância para determinar se a instância falhou na verificação de status do sistema ou na verificação de status da instância.
Verificação do status do sistema
Se a verificação de status do sistema falhar, o hardware subjacente da instância não estará íntegro. Para corrigir o problema, pare e inicie a instância para migrar a instância para um hardware saudável.
Aviso: o endereço IP público da instância muda a cada parada e inicialização da instância. Se você quiser que o endereço IP permaneça o mesmo em cada parada e inicialização da instância, anexe um endereço IP estático antes da parada da instância.
Verificação do status da instância
Se a verificação de status da instância falhar, um problema no nível do sistema operacional pode estar causando erros de inicialização. Ou, os recursos da instância, como CPU ou memória, podem ser utilizados em excesso. Para obter as etapas de solução de problemas, consulte Como solucionar problemas comuns que fazem com que minha instância do Lightsail pare de responder?
Um firewall no nível do sistema operacional está bloqueando o acesso à porta SSH
O acesso SSH baseado em navegador usa o endereço IP interno da Amazon para se conectar à instância do Lightsail. Alguns firewalls e arquivos de controle de acesso no nível do sistema operacional permitem acesso SSH somente a um conjunto de endereços IP. Nesse caso, você recebe o erro UPSTREAM_NOT_FOUND [519] ou UPSTREAM_ERROR [515]. O mesmo problema ocorrerá se um firewall estiver bloqueando por completo o acesso SSH.
Observação: exemplos de firewalls no nível do sistema operacional incluem Iptables e UFW. Um exemplo de arquivo de controle é /etc/hosts.deny que hospeda o controle de acesso em instâncias baseadas em cPanel.
Para resolver esse erro, execute uma das seguintes ações:
- Se você puder usar o SSH para acessar a instância a partir do terminal ou do aplicativo PuTTY, faça login na instância. Remova as regras de negação do firewall e do arquivo /etc/hosts.deny.
- Se você tiver uma instância cPanel, acesse o console WHM para remover as regras de firewall.
- Se você não conseguir se conectar à instância usando SSH do terminal ou da aplicação PuTTY, desative o firewall usando um script de execução. O script de execução só pode ser adicionado durante a execução de uma instância.
Para usar um script de inicialização para desativar firewalls no nível do sistema operacional, Iptables e UFW, faça o seguinte:
-
Abra o console do Amazon Lightsail.
-
Na guia Snapshots, em Snapshots manuais, selecione os três pontos ao lado do novo snapshot.
-
Selecione Criar nova instância.
-
Selecione a mesma zona de disponibilidade da instância anterior.
-
Selecione Adicionar script de inicialização e, em seguida, adicione o seguinte script.
Observação: o script de exemplo a seguir desativa o firewall UFW, libera todas as cadeias Iptable ou regras de firewall e desativa o arquivo /etc/hosts.deny renomeando-o:sudo ufw disable sudo iptables -F sudo mv /etc/hosts.deny /etc/hosts.deny_backup sudo touch /etc/hosts.deny sudo systemctl enable sshd sudo systemctl restart sshd
-
Selecione um novo plano de instância ou use o mesmo plano da instância anterior.
-
Insira um nome para a instância e selecione Criar instância.
Depois que a nova instância começar a ser executada, aguarde de 10 a 15 minutos e tente se conectar a ela usando o console SSH baseado em navegador.
Observação: se a instância anterior tiver um endereço IP estático, você poderá usá-lo na nova instância. Na guia Rede no console do Lightsail, desanexe o endereço IP estático e, em seguida, anexe-o à nova instância.
O serviço SSH está inativo
Se o serviço SSH não estiver em execução ou ativo na instância, a conexão SSH falhará e você receberá o erro UPSTREAM_NOT_FOUND [519]. Para solucionar o problema, configure o serviço AWS Systems Manager Session Manager para sua instância do Lightsail. Em seguida, acesse a instância sem o serviço SSH e corrija o problema de SSH.
As etapas básicas de solução de problemas de SSH incluem:
- Dependendo da distribuição do sistema operacional, revise os registros de autenticação SSH no arquivo /var/log/auth.log ou /var/log/secure para identificar os erros.
- Teste a sintaxe do arquivo de configuração SSH e corrija os erros:
sudo sshd -t sudo systemctl restart sshd
Você configurou incorretamente a chave do sistema Lightsail em /etc/ssh/lightsail_instance_ca.pub
O Lightsail usa a chave de sistema /etc/ssh/lightsail_instance_ca.pub para ativar o acesso SSH baseado em navegador. Se o arquivo estiver ausente, a autenticação SSH falhará e você receberá o erro CLIENT_UNAUTHORIZED [769]. O mesmo erro ocorre quando a chave de sistema do Lightsail não é especificada no parâmetro TrustedUserCAKeys no arquivo de configuração SSH /etc/ssh/sshd_config.
Se você puder usar o SSH para se conectar à instância por meio do terminal ou do aplicativo PuTTY, faça login na instância. Confirme se o arquivo /etc/ssh/sshd\ _config existe e se ele contém a chave ssh-rsa.
Se o arquivo estiver ausente, recrie o arquivo usando as seguintes etapas:
-
Execute o seguinte comando e confirme se você obtém a chave ssh-rsa na saída do comando:
sudo cat /var/lib/cloud/instance/user-data.txt | grep ^ssh-rsa
-
Se o comando retornar a chave ssh-rsa na saída, execute os seguintes comandos para copiá-la para /etc/ssh/lightsail_instance_ca.pub:
sudo sh -c "cat /var/lib/cloud/instance/user-data.txt | grep ^ssh-rsa > /etc/ssh/lightsail_instance_ca.pub" sudo sh -c "echo >> /etc/ssh/sshd_config" sudo sh -c "echo 'TrustedUserCAKeys /etc/ssh/lightsail_instance_ca.pub' >> /etc/ssh/sshd_config" sudo systemctl restart sshd
-
Se você não obtiver uma chave ssh-rsa ou não puder usar o SSH para se conectar à instância, crie um snapshot da instância. Quando você executa uma nova instância a partir do snapshot, a chave do sistema Lightsail é adicionada automaticamente ao servidor na inicialização da instância.
Você atualizou sua versão da instância do Ubuntu para 20.04 ou posterior
Para instâncias que executam o Ubuntu 20.04 ou posterior, você deve permitir que as autoridades de certificação (CAs) usem o algoritmo ssh-rsa para assinar certificados. Caso contrário, a autenticação falhará e você receberá o erro CLIENT_UNAUTHORIZED [769]. Na instância Ubuntu versão 20.04 ou posterior, as CAs podem usar o algoritmo ssh-rsa por padrão. No entanto, se você atualizar sua versão mais antiga do Ubuntu para a versão 20.04, deverá permitir manualmente as CAs.
Para fazer isso, siga estas etapas:
-
Conecte-se à instância usando um cliente SSH, como o terminal ou a aplicação PuTTY..
-
Abra o arquivo de configuração SSH (/etc/ssh/sshd_config).
-
Adicione parâmetros de CA ao arquivo, dependendo da sua versão do Ubuntu:
Versão da instância do Ubuntu atualizada para 20.04
Insira manualmente a linha de parâmetros CASignatureAlgorithms no arquivo sshd\ _config:
$ sudo vi /etc/ssh/sshd_config $ cat /etc/ssh/sshd_config | egrep "CASignature" CASignatureAlgorithms ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519,rsa-sha2-512,rsa-sha2-256,ssh-rsa
Versão da instância do Ubuntu atualizada para 22.04
Insira manualmente a linha de parâmetros CASignatureAlgorithms e PubkeyAcceptedAlgorithms no arquivo sshd_config:
$ sudo vi /etc/ssh/sshd_config $ cat /etc/ssh/sshd_config | egrep "CASignature|PubkeyAccepted" CASignatureAlgorithms ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519,rsa-sha2-512,rsa-sha2-256,ssh-rsa PubkeyAcceptedAlgorithms +ssh-rsa-cert-v01@openssh.com,ssh-rsa
-
Execute o comando a seguir para validar o conteúdo do arquivo de configuração sshd:
$ sudo sshd -T
-
Execute o comando a seguir para reiniciar o serviço sshd:
$ sudo systemctl restart sshd

Conteúdo relevante
- feita há 9 diaslg...
- feita há um mêslg...
- feita há 10 diaslg...
- feita há 14 diaslg...
- AWS OFICIALAtualizada há 8 meses
- AWS OFICIALAtualizada há um ano