Wie aktiviert man diffie-hellman-group1-sha1 Schlüsselaustausch unter Debian 8.0?

Ich kann nicht mit ssh auf einen Server zugreifen, der nach einer "diffie-hellman-group1-sha1"-Schlüsselaustauschmethode fragt:

ssh 123.123.123.123
Unable to negotiate with 123.123.123.123 port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1

Wie aktiviert man die "diffie-hellman-group1-sha1"-Schlüsselaustauschmethode unter Debian 8.0?

Ich habe versucht (wie hier vorgeschlagen), um

  1. die folgenden Zeilen zu meiner /etc/ssh/ssh_config hinzuzufügen

     KexAlgorithmen diffie-hellman-group1-sha1,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
 Verschlüsselungen 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr

  2. Schlüssel regenerieren mit

     ssh-keygen -A

  3. ssh neu starten mit

     dienst ssh neustart

aber der Fehler tritt immer noch auf.

Rui F Ribeiro
Bearbeitete Frage 9. April 2017 в 2:36
Unix und Linux
debian ssh ssh-agent openssh key-authentication
28. Januar 2017 в 8:17
49 Aufrufe
Lösung

Die OpenSSH-Website hat eine Seite, die sich mit Legacy-Problemen wie diesem beschäftigt. Sie schlägt den folgenden Ansatz vor, auf dem Client:

ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 123.123.123.123

oder dauerhafter, indem man

Host 123.123.123.123
    KexAlgorithms +diffie-hellman-group1-sha1

zu ~/.ssh/config.

Dadurch werden die alten Algorithmen auf dem Client aktiviert, so dass er sich mit dem Server verbinden kann.

Stephen Kitt
Bearbeitete Antwort 5. Oktober 2017 в 7:14
Kommentare (4)

Ich habe diese Lösung ausprobiert, aber mein Problem war, dass ich viele (ältere) Clients hatte, die sich mit meinem kürzlich aktualisierten Server (ubuntu 14 -> ubuntu 16) verbunden haben.

Die Änderung von openssh6 -> openssh7 deaktivierte standardmäßig die diffie-hellman-group1-sha1 Schlüsselaustauschmethode.

Nach dem Lesen von dies und dies habe ich die Änderungen gefunden, die ich in der Datei /etc/ssh/sshd_config vornehmen musste:

#Legacy changes
KexAlgorithms +diffie-hellman-group1-sha1
Ciphers +aes128-cbc

Aber ein umfassenderer Satz von Änderungen ist (aus hier)

#Legacy changes
KexAlgorithms diffie-hellman-group1-sha1,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr
Kommentare (4)