Рейтинг:3

SSH Не найдено соответствующего типа ключа хоста

флаг tn

У меня есть два сервера,

  • S1: Моя машина, Windows 8, OpenSSH 8.8p1, OpenSSL 1.1.11 2021-08-24,
  • S2: удаленный сервер, линукс, Откройте SSH 5.3p1, OpenSSL 1.0.1e-fips 2013-02-11.

Сообщение, которое я пытаюсь выяснить, как решить,

Невозможно договориться с ххх.ххх.ххх.ххх порт ххххх: подходящего ключа хоста не найдено, они предлагают ssh-rsa, ssh-dss

  • Оба пользовательских ключа S1 ​​и S2 ssh РСА-2048 (~372 символа),
  • Обе S1 и S2 и т.д./конфигурация файлы имеют все свои параметры, прокомментированные по умолчанию,
  • Обе S1 и S2 пользователи ssh имеют свои конфигурация и авторизованные_ключи идентичные файлы, включая открытые ключи и псевдонимы,
  • S2 — это Remote, Embedded Linux, не находящийся под моим контролем и который я не могу обновлять. SSH не может быть обновлен и ограничен определенными IP-адресами.

Вопрос в том, должен ли я изменить все ключи на, например, ECDSA-256, чтобы это было решено? Есть ли другая конфигурация, не упомянутая здесь, которую я пропустил?

Когда я добавляю опцию Алгоритмы ключа хоста +ssh-rsa, предлагалось почти везде, SSH запрашивать пароль вместо проверки ключей.

dave_thompson_085 avatar
флаг jp
С `HostKeyAlgorithms +ssh-rsa` он запрашивает пароль, поэтому он _принял_ ключ хоста, и ваша проблема заключается в _пользовательской_ аутентификации.OpenSSH 8.8 по умолчанию использует для ключа RSA только более новые алгоритмы RSA-SHA2, которые не реализованы в 5.5. **_Также_ добавьте `PubkeyAcceptedAlgorithms +ssh-rsa`.**
Рейтинг:3
флаг jp

(немного расширяясь)

Вы фактически исправили проблему в своем заголовке; с Алгоритмы ключа хоста +ssh-rsa он запрашивает пароль, что означает, что это принято ключ хоста. (Вы могли бы даже сказать 8.8 принять ssh-dss -- он все еще реализован, хотя разработчики OpenSSH настоятельно не рекомендуют его использовать.)

Настоящая проблема в вашем теле сейчас пользователь аутентификация, потому что OpenSSH 8.8 по умолчанию использует для ключа RSA только более новый и надежный rsa-sha2-* алгоритмы, а версия 5.3 появилась примерно за 8 лет до того, как они были определены. Добавлять PubkeyAcceptedAlgorithms +ssh-rsa чтобы заставить 8.8 использовать старый, слабый алгоритм, с которым может справиться 5.3.

И, если возможно, делайте ехидные замечания тому, кто отвечает за эту древнюю систему, к которой вы подключаетесь :-)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.