Come abilitare lo scambio di chiavi diffie-hellman-group1-sha1 su Debian 8.0?

Non riesco a inviare SSH a un server che richiede un diffie-hellman-group1-sha1metodo di scambio di chiavi:

ssh 123.123.123.123
Unable to negotiate with 123.123.123.123 port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1

Come abilitare il diffie-hellman-group1-sha1metodo di scambio delle chiavi su Debian 8.0?

Ho provato (come proposto qui ) a

aggiungi le seguenti righe al mio /etc/ssh/ssh_config

KexAlgorithms diffie-hellman-group1-sha1,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr

rigenerare i tasti con
```
ssh-keygen -A
```
riavvia ssh con
```
service ssh restart
```
ma ottiene ancora l'errore.

— j1088099.mvrht.com.
fonte

Mi sta succedendo lo stesso con Debian 9.

— Rui F Ribeiro,

Prova questo diffie-hellman-group-exchange-sha256

— Miguel

Risposte:

Il sito Web OpenSSH ha una pagina dedicata a questioni legacy come questa. Suggerisce il seguente approccio, sul client :

ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 123.123.123.123

o più permanentemente, aggiungendo

Host 123.123.123.123
    KexAlgorithms +diffie-hellman-group1-sha1

a ~/.ssh/config.

Ciò consentirà i vecchi algoritmi sul client , consentendogli di connettersi al server.

— Stephen Kitt
fonte

Ho anche affrontato questo problema oggi, ma era dovuto alla rete. Ho cambiato la rete e il problema era sparito

— Luv33preet

Unable to negotiate with 192.168.1.123 port 22222: no matching cipher found. Their offer: aes128-cbc,3des-cbc,aes256-cbc,twofish256-cbc,twofish-cbc,twofish128-cbc,blowfish-cbc

— Ho

@ifelsemonkey è un problema diverso, nota che l'offerta che ricevi non è la stessa di quella nella domanda.

— Stephen Kitt,

Confermato che si trattava di un problema diverso. Sono stato in grado di risolverlo aggiungendo la seguente voce nel mio ~/.ssh/configfile. Host 192.168.1.123e sotto di esso Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc.

— dattiloscritto il

Ho provato questa soluzione, ma il mio problema era che avevo molti client (legacy) collegati al mio server aggiornato di recente (Ubuntu 14 -> Ubuntu 16).

La modifica da openssh6 -> openssh7 disabilitato per impostazione predefinita il diffie-hellman-group1-sha1metodo di scambio delle chiavi.

Dopo aver letto questo e questo, mi sono venute in mente le modifiche che dovevo fare al /etc/ssh/sshd_configfile:

#Legacy changes
KexAlgorithms +diffie-hellman-group1-sha1
Ciphers +aes128-cbc

Ma una serie più ampia di modifiche legacy è (presa da qui )

#Legacy changes
KexAlgorithms diffie-hellman-group1-sha1,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr

— una barra
fonte

Spero che a un certo punto sarai in grado di aggiornare i tuoi clienti, gli algoritmi legacy sono stati disabilitati per ottime ragioni e non dovrebbero essere riattivati alla leggera (probabilmente ti rendi conto che, ho pensato che valesse la pena sottolineare per altri lettori).

— Stephen Kitt,

Funziona sul lato server (a differenza della risposta molto simile, accettata e focalizzata sul lato client).

— knb

sto cercando di usare lo stesso per abilitare le vecchie chiavi. ma dato che sono un principiante, non so davvero quale IP inserire quando scrivo ssh -oKexAlgorithms = + diffie-hellman-group1-sha1 123.123.123.123

— Yousi

Per aggiungere la ricerca di persone future, mi stavo collegando tramite SSH da un Mac con OpenSSH_7.9p1 a uno switch Cisco 3750 in esecuzione: software Cisco IOS, software C3750 (C3750-IPSERVICESK9-M), versione 12.2 (55) SE12, SOFTWARE DI RILASCIO (FC2). Ho aggiunto quanto segue alla configurazione del client e sono stato in grado di scrivere in: KexAlgorithms + diffie-hellman-group1-sha1 Ciphers + aes128-cbc

— DYoung