openssh & ssl & ssh -Q key

kex, ssh

0

1

Краткая суть:
- Клиент - дистрибутив gentoo со свежими обновлениями net-misc/openssh-7.9_p1::gentoo USE="X audit libedit pam pie ssl -X509 -bindist -debug -hpn -kerberos -ldns -libressl -livecd -sctp (-selinux) -static -test"
OpenSSH_7.9p1 11 Sep 2018
- Сервер - старое оборудование с ssh доступом
После очередного обновления отказал доступ с генты на оборудование "no matching key exchange method found"
Это в принципе не новость, давно об этом говорили об отключении старых алгоритмов.
Тем не менее в интернете в основном о принудительном включении алгоритма в клиенте ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 user@legacyhost

Это не отрабатывало. При проверке допустимых вариантов

$ ssh -Q kex
curve25519-sha256 
curve25519-sha256@libssh.org

, что несколько озадачило, а где все остальные?
Поиском не обнаружено такого малого количества вариантов.

Тем не менее попробовал перекомпилировать openssh c «USE=ssl».
Это помогло

$ssh -Q kex 
diffie-hellman-group1-sha1
diffie-hellman-group14-sha1
diffie-hellman-group14-sha256
diffie-hellman-group16-sha512
diffie-hellman-group18-sha512
diffie-hellman-group-exchange-sha1
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
curve25519-sha256
curve25519-sha256@libssh.org

Соответственно, к оборудованию нормально подключился.

Осталось понять - это BUG или так задумано?

P.S.
Предупреждая вопросы - openssh всегда компилировал без openssl.
Предупреждая предложения - другие библиотеки ssl или варианты ssh - не рассматриваю. Хотя и интересно как «это дело» в них.

Ссылка

←	сервер как роутер и vpn шлюз в одном

Кластер pacameker+corosync failed resource filesystem

→

вот вам точно совершенно нувообще никак не пришло в голову указать в тегах gentoo?
ненуачо, что проблема в баловстве с этим дистром, я лучше kex напишу. тогда точно придёт Pinkbyte и всё объяснит!

~~mos~~ ★★☆☆☆
(25.12.18 10:08:52 MSK)
Последнее исправление: mos 25.12.18 10:09:16 MSK (всего исправлений: 1)

Ответ на: комментарий от mos 25.12.18 10:08:52 MSK

у меня осталось впечатление что в остальных дистрибутивах именно без всяких *ssl компилируется, поэтому и не стал добавлять.
P.S.
Для Pinkbyte, вы всё ещё официально участвуете в разработке gentoo?

Atlant ★★★★★
(25.12.18 10:35:40 MSK) автор топика
Последнее исправление: Atlant 25.12.18 10:36:54 MSK (всего исправлений: 1)

Ответ на: комментарий от Atlant 25.12.18 10:35:40 MSK

как это связано с тем что у тебя гента и в ней что-то сломалось (с очередным конпилингом)?

ЗЫ почитал портянки с генту-кодом. вопросов стало только больше. уточню - ты недоумеваешь по поводу того что программа не работает, если её сконпилять без... ну собственно программы? или что? генту это позволяет, да.

~~mos~~ ★★☆☆☆
(25.12.18 10:40:05 MSK)

Ответ на: комментарий от Atlant 25.12.18 10:35:40 MSK

он её использует. официально или подпольно - не знаю. я вот уже лет 10 если не больше официально не использую))

~~mos~~ ★★☆☆☆
(25.12.18 10:40:45 MSK)

Ссылка

Ответ на: комментарий от mos 25.12.18 10:40:05 MSK

я интересуюсь «сейчас openssh без без интегрированного openssl поддерживает только curve25519-sha256*» для «key exchange method» ?

Atlant ★★★★★
(25.12.18 10:48:15 MSK) автор топика

в общем, если у вас свежее обновление дистрибутива покажите результат ssh -V; ssh -Q kex и наименование дистрибутива

Atlant ★★★★★
(25.12.18 10:52:18 MSK) автор топика

Ссылка

Ответ на: комментарий от Atlant 25.12.18 10:48:15 MSK

вот это наверное и надо написать в вопросе? уточнив что openssh-client и он в генте.

~~mos~~ ★★☆☆☆
(25.12.18 10:56:07 MSK)

Ссылка

Ответ на: комментарий от Atlant 25.12.18 10:35:40 MSK

Для Pinkbyte, вы всё ещё официально участвуете в разработке gentoo?

Участвую, но увы, не так активно, как хотелось бы... :-(

К слову, USE-flag ssl по умолчанию для ебилда net-misc/openssh включен(+ssl), чтобы openssh собирался без него, его нужно вручную выпилить через make.conf/package.use. Что ты видимо и проделал, не зная, что основная часть алгоритмов в openssh реализована через openssl

Пост от 2014 года, анонсирующий возможность сборки OpenSSH без OpenSSL - http://flatlinesecurity.com/posts/openssh-no-ssl/

Цитата оттуда:

make compiling against OpenSSL optional (make OPENSSL=no); reduces algorithms to curve25519, aes-ctr, chacha, ed25519; allows us to explore further options

TL;DR - не выключай включенные по умолчанию опции если не уверен в последствиях :-D

Pinkbyte ★★★★★
(26.12.18 20:35:39 MSK)
Последнее исправление: Pinkbyte 26.12.18 20:37:58 MSK (всего исправлений: 3)

Ответ на: комментарий от Pinkbyte 26.12.18 20:35:39 MSK

ssl по умолчанию для ебилда net-misc/openssh включен

Действительно, вспомнил, убрал зависимость чтобы поэкспериментировать с новой версией openssl-1.1.1. Нашел свои коментарии.
Спасибо за коментарий!
P.S. кстати вопрос, А gentoo-команда лучше принимает патчи через bugzilla на (bugs|features) или через github ?

Atlant ★★★★★
(27.12.18 06:27:50 MSK) автор топика

Ответ на: комментарий от Pinkbyte 26.12.18 20:35:39 MSK

Что я товарищу и написал неоднократно, даже генты в глаза не видя >10 лет уже наверное

~~mos~~ ★★☆☆☆
(27.12.18 06:45:43 MSK)

Ссылка

Ответ на: комментарий от Atlant 27.12.18 06:27:50 MSK

А gentoo-команда лучше принимает патчи через bugzilla на (bugs|features) или через github ?

Через Github удобнее и пользователям и разработчикам. В commit-е всё равно будет указано откуда принят патч(строчка Closes или Bug)

Pinkbyte ★★★★★
(27.12.18 10:53:49 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	сервер как роутер и vpn шлюз в одном

Admin

Кластер pacameker+corosync failed resource filesystem

→

Похожие темы