web-dev-qa-db-fra.com

Comment activer l'échange de clés diffie-hellman-group1-sha1 sur Debian 8.0?

Je ne parviens pas à faire de ssh vers un serveur qui demande un diffie-hellman-group1-sha1 méthode d'échange de clés:

ssh 123.123.123.123
Unable to negotiate with 123.123.123.123 port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1

Comment activer le diffie-hellman-group1-sha1 méthode d'échange de clés sur Debian 8.0?

J'ai essayé (comme proposé ici ) de

  1. ajoutez les lignes suivantes à mon /etc/ssh/ssh_config

    KexAlgorithms diffie-hellman-group1-sha1,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr

  2. régénérer les clés avec

    ssh-keygen -A

  3. redémarrez ssh avec

    service ssh restart

    mais obtenez toujours l'erreur.

debiansshopensshkey-authenticationssh-agent
78
j1088099.mvrht.com.

Le site Web d'OpenSSH a une page dédiée à problèmes hérités comme celui-ci. Il suggère l'approche suivante, sur le client :

ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 123.123.123.123

ou de façon permanente, en ajoutant

Host 123.123.123.123
    KexAlgorithms +diffie-hellman-group1-sha1

à ~/.ssh/config.

Cela activera les anciens algorithmes sur le client , lui permettant de se connecter au serveur.

119
Stephen Kitt

J'ai essayé cette solution, mais mon problème était que de nombreux clients (hérités) se connectaient à mon serveur récemment mis à niveau (ubuntu 14 -> ubuntu 16).

Le changement de openssh6 -> openssh7 désactivé par défaut le diffie-hellman-group1-sha1 méthode d'échange de clés.

Après avoir lu this et this je suis venu avec les modifications que je devais apporter au /etc/ssh/sshd_config fichier:

#Legacy changes
KexAlgorithms +diffie-hellman-group1-sha1
Ciphers +aes128-cbc

Mais un ensemble de modifications héritées plus large est (tiré de ici )

#Legacy changes
KexAlgorithms diffie-hellman-group1-sha1,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr
20
arod