Добавление алгоритмов обмена ключами в ssh сервер.

0

1

Есть такое android приложение droid edit. В нем есть возможность редактировать файлы на sftp серверах. Оно у меня работало с raspbian 10, но с raspbian 11 перестало договариваться по алгоритмам обмена ключей. А именно, после неудачной попытки подключения, я обнаружил в логе sshd: Команда sudo tail -f /var/log/auth.log

Unable to negotiate with 192.168.100.78 port 36296: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1 [preauth]

Es проводник использует тот же набор. Похоже это из какой-то библиотеки android. Естественно добавил их в /etc/ssh/ssh_config:

KexAlgorithms +diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1

Но осталась та же ошибка даже после перезагрузки. Может вообще нельзя добавить алгоритмы обмена ключами на ssh server?

Ссылка

←	sed: Экранировать слэш «/»

Высвечивание возможной команды в терминале

→

SHA1 убрали в SSH версии 8.8 IIRC

См. https://www.openssh.com/releasenotes.html в частности «Potentially-incompatible changes».

TL;DR:

Incompatibility is more likely when connecting to older SSH
implementations that have not been upgraded or have not closely tracked
improvements in the SSH protocol. For these cases, it may be necessary
to selectively re-enable RSA/SHA1 to allow connection and/or user
authentication via the HostkeyAlgorithms and PubkeyAcceptedAlgorithms
options. For example, the following stanza in ~/.ssh/config will enable
RSA/SHA1 for host and user authentication for a single destination host:

    Host old-host
        HostkeyAlgorithms +ssh-rsa
	PubkeyAcceptedAlgorithms +ssh-rsa

We recommend enabling RSA/SHA1 only as a stopgap measure until legacy
implementations can be upgraded or reconfigured with another key type
(such as ECDSA or Ed25519).

beastie ★★★★★
(10.02.22 19:18:00 MSK)
Последнее исправление: beastie 10.02.22 19:19:20 MSK (всего исправлений: 1)

Ссылка

А openssh на raspbian у тебя перевешен на порт 36296? А то SSH протокол не только он использует, всякие KDE Connect тащат собственный SSH-сервер(который они же и конфигуряют)

А так - плюсую глобальное включение RSA обратно по рекомендации выше(при условии что openssh на raspbian как раз 8.8 или выше)

Pinkbyte ★★★★★
(10.02.22 19:19:23 MSK)
Последнее исправление: Pinkbyte 10.02.22 19:20:11 MSK (всего исправлений: 1)

Ответ на: комментарий от Pinkbyte 10.02.22 19:19:23 MSK

HostkeyAlgorithms +ssh-rsa Добавил, не помогло. PubkeyAcceptedAlgorithms +ssh-rsa

Утилита ssh ругается на это пункт.

/etc/ssh/ssh_config: line 57: Bad configuration option: pubkeyacceptedalgorithms/etc/ssh/ssh_config: terminating, 1 bad configuration options

Версия ssh:

OpenSSH_8.4p1 Raspbian-5+b1, OpenSSL 1.1.1k 25 Mar 2021

То есть менее 8.8. Учитывайте, что я пытаюсь настроить ssh сервер. Это клиент(приложение) со старыми алгоритмами пытается подключиться.

Un_ka
(10.02.22 19:57:35 MSK) автор топика

Ответ на: комментарий от Un_ka 10.02.22 19:57:35 MSK

Покажи полный конфиг сервера(/etc/ssh/sshd_config). /etc/ssh/ssh_config - это глобальный конфиг КЛИЕНТА, буква 'd' ВАЖНА

Pinkbyte ★★★★★
(10.02.22 22:00:24 MSK)
Последнее исправление: Pinkbyte 10.02.22 22:01:25 MSK (всего исправлений: 2)

Ответ на: комментарий от Pinkbyte 10.02.22 22:00:24 MSK

Действительно, я правил файл конфигурации клиента, а не демона sshd. Добавил в файл /etc/ssh/sshd_config строки

KexAlgorithms +diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1

Всё заработало, спасибо!

Дьявол кроется в мелочах, в данном случае демон.

Un_ka
(11.02.22 10:24:28 MSK) автор топика
Последнее исправление: Un_ka 11.02.22 10:24:52 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	sed: Экранировать слэш «/»

General

Высвечивание возможной команды в терминале

→

Похожие темы