Рейтинг:0

Невозможно добавить старые шифры HostKeyAlgorithms KexAlgorithms в sshd_config без ошибки hostkey alg

флаг us

у меня 2 линукс коробки один - CentOS 6 один - Fedora 35

OpenSsh в CentOS 6 устарел, а сервер sshd Fedora 35 отклоняет соединение. Я хочу вернуть старые шифры HostKeyAlgorithms KexAlgorithms в sshd_config Fedora 35.

то, что я добавил, следующее

# Добавить поддержку старого клиента
Шифры +aes128-cbc
MAC-адреса +hmac-sha1
Алгоритмы HostKeyAlgorithms +ssh-dss
KexAlgorithms +diffie-hellman-group1-sha1

это доступно с обеих сторон

ssh -Q Шифры
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
[email protected]
[email protected]
[email protected]
[hans@fedora ssh]$ ssh -Q MAC-адреса
hmac-sha1
hmac-sha1-96
hmac-sha2-256
hmac-sha2-512
hmac-md5
hmac-md5-96
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[hans@fedora ssh]$ ssh -Q Алгоритмы HostKey
ssh-ed25519
[email protected]
[email protected]
[email protected]
ssh-rsa
rsa-sha2-256
rsa-sha2-512
ssh-dss
ecdsa-sha2-nistp256
ecdsa-sha2-nistp384
ecdsa-sha2-nistp521
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[hans@fedora ssh]$ 
[hans@fedora ssh]$ ssh -Q Алгоритмы Kex
диффи-хеллман-group1-sha1
диффи-хеллман-group14-sha1
диффи-хеллман-group14-sha256
диффи-хеллман-group16-sha512
Диффи-Хеллман-group18-sha512
диффи-хеллман-группа-обмен-sha1
Диффи-Хеллман-группа-обмен-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
кривая25519-sha256
кривая[email protected]
[email protected]

после перезагрузки/перезапуска sshd

судо sshd -T | grep -i Алгоритмы ключа хоста
hostkeyalgorithms ecdsa-sha2-nistp256,[email protected],[email protected],[email protected],ecdsa -sha2-nistp384,[email protected],ecdsa-sha2-nistp521,[email protected],ssh-ed25519,ssh-ed25519-cert-v01 @openssh.com,[email protected],[email protected],rsa-sha2-256,[email protected],rsa -sha2-512,[email protected]

судо sshd -T | grep -i кексалгоритмы
gssapikexalgorithms gss-curve25519-sha256-, gss-nistp256-sha256-, gss-group14-sha256-, gss-group16-sha512-
kexalgorithms curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha256,diffie -Хеллман-группа16-ша512, Диффи-Хеллман-группа18-ша512

судо sshd -T | grep -я шифр
шифры [email protected], [email protected], aes256-ctr, [email protected], aes128-ctr

на CentOS6 он все еще дает мне эту ошибку, как будто файл конфигурации никогда не менялся.

ssh -vv 192.168.1.6
OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 февраля 2013 г.
debug1: Чтение данных конфигурации /etc/ssh/ssh_config
debug1: Применение параметров для *
отладка2: ssh_connect: нужно 0
debug1: подключение к порту 22 192.168.1.6 [192.168.1.6].
отладка1: соединение установлено.
debug1: файл идентификации /home/hans/.ssh/тип идентификации -1
debug1: файл идентификации /home/hans/.ssh/identity-cert type -1
debug1: файл идентификации /home/hans/.ssh/id_rsa тип -1
debug1: файл идентификации /home/hans/.ssh/id_rsa-cert type -1
debug1: файл идентификации /home/hans/.ssh/id_dsa тип -1
debug1: файл идентификации /home/hans/.ssh/id_dsa-cert type -1
debug1: файл идентификации /home/hans/.ssh/id_ecdsa тип -1
debug1: файл идентификации /home/hans/.ssh/id_ecdsa-cert type -1
debug1: удаленный протокол версии 2.0, удаленная версия программного обеспечения OpenSSH_8.7
debug1: совпадение: OpenSSH_8.7 с OpenSSH*
debug1: включение режима совместимости для протокола 2.0
debug1: строка локальной версии SSH-2.0-OpenSSH_5.3
debug2: параметр fd 3 O_NONBLOCK
debug1: SSH2_MSG_KEXINIT отправлен
debug1: SSH2_MSG_KEXINIT получен
debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256, diffie-hellman-group-exchange-sha1, diffie-hellman-group14-sha1, diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: [email protected], [email protected], [email protected], ssh-dss-cert-v00@openssh. com, ssh-rsa, ssh-dss
debug2: kex_parse_kexinit: aes128-ctr, aes192-ctr, aes256-ctr, aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, aes192-cbc, aes256-cbc, [email protected]
debug2: kex_parse_kexinit: aes128-ctr, aes192-ctr, aes256-ctr, aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, aes192-cbc, aes256-cbc, [email protected]
debug2: kex_parse_kexinit: hmac-sha1, [email protected], hmac-sha2-256, hmac-sha2-512, hmac-ripemd160, [email protected], hmac-sha1-96
debug2: kex_parse_kexinit: hmac-sha1, [email protected], hmac-sha2-256, hmac-sha2-512, hmac-ripemd160, [email protected], hmac-sha1-96
debug2: kex_parse_kexinit: нет, [email protected], zlib
debug2: kex_parse_kexinit: нет, [email protected], zlib
отладка2: kex_parse_kexinit: 
отладка2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: first_kex_follows 0 
debug2: kex_parse_kexinit: зарезервировано 0 
debug2: kex_parse_kexinit: curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14- sha256, диффи-хеллман-группа16-ша512, диффи-хеллман-группа18-ша512
debug2: kex_parse_kexinit: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519
debug2: kex_parse_kexinit: [email protected], [email protected], aes256-ctr, [email protected], aes128-ctr
debug2: kex_parse_kexinit: [email protected], [email protected], aes256-ctr, [email protected], aes128-ctr
debug2: kex_parse_kexinit: [email protected],[email protected],[email protected],[email protected],hmac- sha2-256, hmac-sha1, [email protected], hmac-sha2-512
debug2: kex_parse_kexinit: [email protected],[email protected],[email protected],[email protected],hmac- sha2-256, hmac-sha1, [email protected], hmac-sha2-512
debug2: kex_parse_kexinit: нет, [email protected]
debug2: kex_parse_kexinit: нет, [email protected]
отладка2: kex_parse_kexinit: 
отладка2: kex_parse_kexinit: 
debug2: kex_parse_kexinit: first_kex_follows 0 
debug2: kex_parse_kexinit: зарезервировано 0 
debug2: mac_setup: найден hmac-sha1
debug1: kex: сервер-> клиент aes128-ctr hmac-sha1 нет
debug2: mac_setup: найден hmac-sha1
debug1: kex: клиент-> сервер aes128-ctr hmac-sha1 нет
нет алгоритма ключа хоста
Рейтинг:0
флаг us

узнал в другой теме так что в основном sshd_config перезаписывается /etc/crypto-policies/back-ends/opensshserver.config

Я просто комментирую все в этом файле и добавляю следующую строку для решения проблемы.

Шифры +aes128-cbc
MAC-адреса +hmac-sha1
KexAlgorithms +diffie-hellman-group1-sha1
Алгоритмы HostKeyAlgorithms +ssh-dss,ssh-rsa
PubkeyAcceptedAlgorithms +ssh-dss,ssh-rsa
djdomi avatar
флаг za
помните, что вам нужно принять свой собственный ответ.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.