Ich kann nicht mit ssh auf einen Server zugreifen, der nach einer "diffie-hellman-group1-sha1"-Schlüsselaustauschmethode fragt:
ssh 123.123.123.123
Unable to negotiate with 123.123.123.123 port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1
Wie aktiviert man die "diffie-hellman-group1-sha1"-Schlüsselaustauschmethode unter Debian 8.0?
Ich habe versucht (wie hier vorgeschlagen), um
die folgenden Zeilen zu meiner /etc/ssh/ssh_config
hinzuzufügen
KexAlgorithmen diffie-hellman-group1-sha1,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Verschlüsselungen 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr
Schlüssel regenerieren mit
ssh-keygen -A
ssh neu starten mit
dienst ssh neustart
aber der Fehler tritt immer noch auf.
Die OpenSSH-Website hat eine Seite, die sich mit Legacy-Problemen wie diesem beschäftigt. Sie schlägt den folgenden Ansatz vor, auf dem Client:
ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 123.123.123.123
oder dauerhafter, indem man
Host 123.123.123.123
KexAlgorithms +diffie-hellman-group1-sha1
zu ~/.ssh/config
.
Dadurch werden die alten Algorithmen auf dem Client aktiviert, so dass er sich mit dem Server verbinden kann.
Ich habe diese Lösung ausprobiert, aber mein Problem war, dass ich viele (ältere) Clients hatte, die sich mit meinem kürzlich aktualisierten Server (ubuntu 14 -> ubuntu 16) verbunden haben.
Die Änderung von openssh6 -> openssh7 deaktivierte standardmäßig die diffie-hellman-group1-sha1
Schlüsselaustauschmethode.
Nach dem Lesen von dies und dies habe ich die Änderungen gefunden, die ich in der Datei /etc/ssh/sshd_config
vornehmen musste:
#Legacy changes
KexAlgorithms +diffie-hellman-group1-sha1
Ciphers +aes128-cbc
Aber ein umfassenderer Satz von Änderungen ist (aus hier)
#Legacy changes
KexAlgorithms diffie-hellman-group1-sha1,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr