Come abilitare lo scambio di chiavi diffie-hellman-group1-sha1 su Debian 8.0?


66

Non riesco a inviare SSH a un server che richiede un diffie-hellman-group1-sha1metodo di scambio di chiavi:

ssh 123.123.123.123
Unable to negotiate with 123.123.123.123 port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1

Come abilitare il diffie-hellman-group1-sha1metodo di scambio delle chiavi su Debian 8.0?

Ho provato (come proposto qui ) a

  1. aggiungi le seguenti righe al mio /etc/ssh/ssh_config

    KexAlgorithms diffie-hellman-group1-sha1,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
    Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr
    
  2. rigenerare i tasti con

    ssh-keygen -A
    
  3. riavvia ssh con

    service ssh restart
    

    ma ottiene ancora l'errore.


Mi sta succedendo lo stesso con Debian 9.
Rui F Ribeiro,

Prova questo diffie-hellman-group-exchange-sha256
Miguel

Risposte:


94

Il sito Web OpenSSH ha una pagina dedicata a questioni legacy come questa. Suggerisce il seguente approccio, sul client :

ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 123.123.123.123

o più permanentemente, aggiungendo

Host 123.123.123.123
    KexAlgorithms +diffie-hellman-group1-sha1

a ~/.ssh/config.

Ciò consentirà i vecchi algoritmi sul client , consentendogli di connettersi al server.


Ho anche affrontato questo problema oggi, ma era dovuto alla rete. Ho cambiato la rete e il problema era sparito
Luv33preet

Unable to negotiate with 192.168.1.123 port 22222: no matching cipher found. Their offer: aes128-cbc,3des-cbc,aes256-cbc,twofish256-cbc,twofish-cbc,twofish128-cbc,blowfish-cbc
Ho

@ifelsemonkey è un problema diverso, nota che l'offerta che ricevi non è la stessa di quella nella domanda.
Stephen Kitt,

3
Confermato che si trattava di un problema diverso. Sono stato in grado di risolverlo aggiungendo la seguente voce nel mio ~/.ssh/configfile. Host 192.168.1.123e sotto di esso Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc.
dattiloscritto il

19

Ho provato questa soluzione, ma il mio problema era che avevo molti client (legacy) collegati al mio server aggiornato di recente (Ubuntu 14 -> Ubuntu 16).

La modifica da openssh6 -> openssh7 disabilitato per impostazione predefinita il diffie-hellman-group1-sha1metodo di scambio delle chiavi.

Dopo aver letto questo e questo, mi sono venute in mente le modifiche che dovevo fare al /etc/ssh/sshd_configfile:

#Legacy changes
KexAlgorithms +diffie-hellman-group1-sha1
Ciphers +aes128-cbc

Ma una serie più ampia di modifiche legacy è (presa da qui )

#Legacy changes
KexAlgorithms diffie-hellman-group1-sha1,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr

4
Spero che a un certo punto sarai in grado di aggiornare i tuoi clienti, gli algoritmi legacy sono stati disabilitati per ottime ragioni e non dovrebbero essere riattivati ​​alla leggera (probabilmente ti rendi conto che, ho pensato che valesse la pena sottolineare per altri lettori).
Stephen Kitt,

1
Funziona sul lato server (a differenza della risposta molto simile, accettata e focalizzata sul lato client).
knb

sto cercando di usare lo stesso per abilitare le vecchie chiavi. ma dato che sono un principiante, non so davvero quale IP inserire quando scrivo ssh -oKexAlgorithms = + diffie-hellman-group1-sha1 123.123.123.123
Yousi

Per aggiungere la ricerca di persone future, mi stavo collegando tramite SSH da un Mac con OpenSSH_7.9p1 a uno switch Cisco 3750 in esecuzione: software Cisco IOS, software C3750 (C3750-IPSERVICESK9-M), versione 12.2 (55) SE12, SOFTWARE DI RILASCIO (FC2). Ho aggiunto quanto segue alla configurazione del client e sono stato in grado di scrivere in: KexAlgorithms + diffie-hellman-group1-sha1 Ciphers + aes128-cbc
DYoung
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.