すべてのプロダクト
Search

このプロダクト

    Elastic Compute Service:SSHクライアントからLinuxインスタンスに接続するときに「ssh_exchange_identification: read: Connection reset by peer」というエラーメッセージが表示された場合はどうすればよいですか?

    ドキュメントセンター

    Elastic Compute Service:SSHクライアントからLinuxインスタンスに接続するときに「ssh_exchange_identification: read: Connection reset by peer」というエラーメッセージが表示された場合はどうすればよいですか?

    最終更新日:Dec 12, 2024

    このトピックでは、次の問題を解決する方法について説明します。SSHクライアントからLinux Elastic Computer Service (ECS) インスタンスに接続すると、「ssh_exchange_identification: read: Connection reset by peer」というエラーメッセージが表示されます。

    問題の説明

    SSHクライアントからLinuxインスタンスに接続すると、正しいユーザー名とパスワードを使用していても、次のエラーメッセージが表示されます。 

    ssh_exchange_identification: 読み取り: ピアによる接続リセット。
sshd[11949]: 192.168.0.0 (192.168.0.0) から接続を拒否しました。

    原因

    この問題は、次の理由で発生する可能性があります。

    • インスタンス上のTCPラッパー設定ファイルにエラーが含まれています。 TCP Wrapperは、Linuxオペレーティングシステムのアプリケーションへのアクセスを制御する標準のセキュリティフレームワークです。 ほとんどの場合、TCP Wrapperのtcpdデーモンは、/etc/hosts.allowおよび /etc/hosts.de nyファイルから設定を読み取り、TCP接続を許可するかどうかを判断します。 /etc/hosts.allowまたは /etc/hosts.de nyファイルに設定エラーが含まれている場合、SSH接続で例外が発生します。 この問題を解決するには、/etc/hosts.allowまたは /etc/hosts.de nyファイルを変更します。 詳細については、このトピックの「方法1: TCPラッパー構成ファイルの変更」セクションをご参照ください。

    • インスタンス上のliblz4.so.1ファイルが失われました。 このファイルはliblz4.so.1.7.5ファイルへのシンボリックリンクです。 liblz4.so.1ファイルが失われると、SSH接続で例外が発生します。 詳細については、このトピックの「方法2: liblz4.so.1シンボリックリンクの作成」を参照してください。

    • オンプレミスデバイスのパブリックIPアドレスがSecurity Centerによってブロックされています。 この問題を解決するには、オンプレミスデバイスのパブリックIPアドレスをSecurity Centerのホワイトリストに追加します。 詳細については、このトピックの「方法3: セキュリティセンターにホワイトリストエントリを追加する」をご参照ください。

    • オンプレミスデバイスが接続されているネットワークで接続エラーが発生します。 ネットワークの接続エラーを確認する必要があります。 詳細については、このトピックの「方法4: オンプレミスデバイスのネットワークの確認」をご参照ください。

    解決策

    方法1: TCPラッパー設定ファイルの変更

    設定ファイルを変更して、インスタンスを再起動して設定を有効にすることなく、アクセス制御ポリシーを動的に設定できます。 このセクションでは、/etc/hosts.de nyファイルを変更する方法について説明します。

    1. VNC (Virtual Network Computing) を使用してECSインスタンスに接続します。

      詳細については、「VNCを使用したインスタンスへの接続」をご参照ください。

    2. 次のコマンドを実行して、/etc/hosts.allowまたは /etc/hosts.de nyファイルにall:all:denysshd:<IP address>:denyなどの接続を拒否する設定が含まれているかどうかを確認します。 

      cat /etc/hosts.de ny

      • ファイルにall:all:denysshd:<IP address>:denyなどの設定が含まれていない場合、TCP Wrapperによる問題は発生しません。 この場合、他のソリューションを使用して問題をトラブルシューティングします。

      • ファイルにall:all:denysshd:<IP address>:denyなどの設定が含まれている場合は、次の手順に進みます。 この例では、/etc/hosts.de nyファイルに設定が含まれています。

    3. /etc/hosts.de nyファイルを変更します。

      1. /etc/hosts.de nyファイルを開きます。

      2. all:all:denyまたはsshd:<IP address>:denyを含む各行の前に番号記号 (#) を追加して、行をコメントアウトします。 

        # all:all:deny
# sshd:<IPアドレス>: 拒否

      3. Escキーを押して挿入モードを終了します。

      4. :wqと入力し、Enterキーを押して変更を保存し、ファイルを終了します。

    方法2: liblz4.so.1シンボリックリンクの作成

    1. VNCを使用してECSインスタンスに接続します。

      詳細については、「VNCを使用したインスタンスへの接続」をご参照ください。

    2. 次のコマンドを実行してliblz4.so.1.7.5ファイルを照会します。 

      find / -name "liblz4 *"

      liblz4.so.1.7.5ファイルが存在しない場合は、正常なECSインスタンスから現在のECSインスタンスの /usr/lib64/ ディレクトリにliblz4.so.1.7.5ファイルをコピーします。

    3. 次のコマンドを実行して、シンボリックリンクを作成します。 

      ln -s liblz4.so.1.7.5 liblz4.so.1

    方法3: セキュリティセンターにホワイトリストエントリを追加する

    オンプレミスデバイスからインスタンスに接続するときに無効なパスワードを複数回入力すると、オンプレミスデバイスのIPアドレスからのリクエストが拒否される場合があります。 オンプレミスデバイスのIPアドレスをSecurity Centerのホワイトリストに追加できます。 このように、Security CenterはIPアドレスからの要求を拒否しません。 以下の手順を実行します。

    1. Security Centerコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[システム構成]> [機能設定] を選択します。

    3. [設定] タブで、[その他の設定] タブをクリックします。 [セキュリティコントロール] セクションで、[設定] をクリックして [セキュリティコントロール] コンソールに移動します。

    4. 左側のナビゲーションウィンドウで、[ホワイトリスト]> [ホワイトリストにアクセス] を選択します。

    5. [アクセスホワイトリスト] ページで、[追加] をクリックします。

      詳細については、「その他の設定タブで機能を有効にする」トピックのセキュリティ制御セクションを参照してください。

    方法4: オンプレミスデバイスのネットワークを確認する

    オンプレミスデバイスを4Gモバイルネットワークなどの別のネットワークに接続し、オンプレミスデバイスからインスタンスに接続できるかどうかを確認します。

    インスタンスに接続できる場合、元のネットワークに接続エラーがあります。 エラーのトラブルシューティング。