Ik kan niet ssh-en naar een server die vraagt om een diffie-hellman-group1-sha1
sleuteluitwisselingsmethode:
ssh 123.123.123.123
Unable to negotiate with 123.123.123.123 port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1
Hoe schakel ik de diffie-hellman-group1-sha1
sleuteluitwisseling methode in op Debian 8.0?
Ik heb geprobeerd (zoals voorgesteld hier) om
de volgende regels toe te voegen aan mijn /etc/ssh/ssh_config
KexAlgorithms diffie-hellman-group1-sha1,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr
regenereer sleutels met
ssh-keygen -A
herstart ssh met
service ssh herstarten
maar krijg nog steeds de foutmelding.
De OpenSSH website heeft een pagina gewijd aan legacy problemen zoals deze. Het suggereert de volgende aanpak, op de client:
ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 123.123.123.123
of meer permanent, door het toevoegen van
Host 123.123.123.123
KexAlgorithms +diffie-hellman-group1-sha1
aan ~/.ssh/config
.
Dit zal de oude algoritmes op de client inschakelen, waardoor deze verbinding kan maken met de server.
Ik heb deze oplossing geprobeerd, maar mijn probleem was dat ik veel (legacy) clients had die verbinding maakten met mijn onlangs opgewaardeerde server (ubuntu 14 -> ubuntu 16).
De verandering van openssh6 -> openssh7 schakelde standaard de diffie-hellman-group1-sha1
sleuteluitwisselingsmethode uit.
Na het lezen van dit en dit kwam ik met de veranderingen die ik moest doen aan het /etc/ssh/sshd_config
bestand:
#Legacy changes
KexAlgorithms +diffie-hellman-group1-sha1
Ciphers +aes128-cbc
Maar een meer uitgebreide set van wijzigingen is (overgenomen van hier)
#Legacy changes
KexAlgorithms diffie-hellman-group1-sha1,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr