अपडेट के बाद - साइड-इफेक्ट्स खेल में आ सकते हैं। ओपनएसएसएच के साथ - चूक अक्सर बदलते रहते हैं। ओपनबीएसडी (जो ओपनएसएसएच को बनाए / विकसित करता है) के पास ओपनबीएसडी की नीति है जो बैकवर्ड संगतता के बारे में चिंतित नहीं है। यह उन चीजों को 'ब्रेक' कर सकता है, जो पढ़ी गई थीं, अच्छी तरह से काम कर रही थीं।
एक बड़े पैमाने पर संकेत है - कि जब मैंने पहली बार मेरे (GUI इंटरफ़ेस का उपयोग करके) यह नोटिस नहीं किया था, और मैंने अभी इसे क्लिक किया था और 'बेवकूफ अपडेट' से नाराज था - नया संस्करण टूट गया है। नया संस्करण चालू करता है। टूटा नहीं था - लेकिन OpenBSD / OpenSSH ने OpenSSH-6.7p1 के साथ शुरू होने वाले प्रमुख एक्सचेंज डिफॉल्ट्स को बदलना शुरू कर दिया है: http://www.openssh.com/txt/release-6.7 , noteably:
ओपनएसएसएच 6.6 के बाद से परिवर्तन
संभावित-असंगत परिवर्तन
sshd (8):
असुरक्षित एल्गोरिदम को हटाने के लिए सिफर्स और एमएसीएस के डिफ़ॉल्ट सेट को बदल दिया गया है । विशेष रूप से, सीबीसी सिफर और आर्कफोर *
डिफ़ॉल्ट रूप से अक्षम हैं।
अगर
सिफर और एमएसीएस sshd_config विकल्पों के माध्यम से स्पष्ट रूप से कॉन्फ़िगर किया गया है, तो एल्गोरिदम का पूरा सेट उपलब्ध रहता है ।
मेरी समस्या यह है कि मेरे पास एक पुराना क्लाइंट है जिसमें कोई भी नई चूक नहीं है, इसलिए यह कनेक्ट नहीं हो सकता है।
दो समाधान पथ: फिक्स / सर्वर पैच / या ग्राहक को तय / पैच।
सर्वर समाधान: "पुरानी" सेटिंग्स को वापस लाएं ताकि "पुराने" ग्राहक कनेक्ट हो सकें, जो कि मौजूदा क्लाइंट के लिए अनुकूल हो - sshd_config फ़ाइल को संपादित करें और पुराने सिफर की वापस (पर्याप्त) जोड़ें।
Sshd_config के बदलने / जोड़ने की मुख्य पंक्तियाँ:
ciphers aes128-ctr,aes192-ctr,aes256-ctr,chacha20-poly1305@openssh.com,aes256-cbc
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
macs hmac-sha2-256,hmac-sha2-512,hmac-sha1-96,hmac-sha1
बस जोड़ दो:
# Ciphers
# The dafaults starting with OpenSSH 6.7 are:
# aes128-ctr,aes192-ctr,aes256-ctr,chacha20-poly1305@openssh.com
# older clients may need an older cipher, e.g.
# ciphers aes128-cbc,aes192-cbc,aes256-cbc,blowfish-cbc,arcfour
# only adding aes256-cbc as an "old" cipher
ciphers aes128-ctr,aes192-ctr,aes256-ctr,chacha20-poly1305@openssh.com,aes256-cbc
# KEX Key Exchange algorithms
# default from openssh 6.7 are:
# curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256,\
# diffie-hellman-group14-sha1
# an older kex are: none,KexAlgorithms diffie-hellman-group1-sha1
# only adding diffie-hellman-group-sha1 as an "old" KEX
# and this should be deleted ASAP as it is clearly "one of the problems" with SSL based encryption
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
# MAC message authentification code
# the new defaults are:
# umac-64-etm@openssh.com,umac-128-etm@openssh.com,
# hmac-sha2-256-etm@openssh.com,hmac-sha2-512-
# etm@openssh.com,
# umac-64@openssh.com,umac-128@openssh.com,
# hmac-sha2-256,hmac-sha2-512
# older defaults (still supported) are:
# macs hmac-sha1,hmac-md5
# consider removing hmac-sha1-96,hmac-sha1,hmac-md5 "Soon!"
macs hmac-sha2-256,hmac-sha2-512,hmac-sha1-96,hmac-sha1
समाधान # 2 - क्लाइंट को ठीक करें / बदलें
यह देखने का एक आसान तरीका कि आप वर्तमान ग्राहक का क्या समर्थन करते हैं (CLI मानकर) क्या है ssh -hऔर देखें कि क्या कुछ प्रदान करता है:
Supported ciphers:
3des-cbc,aes256-cbc,aes192-cbc,aes128-cbc,blowfish-cbc,twofish-cbc,twofish256-cbc,twofish192-cbc,twofish128-cbc,des-cbc@ssh.com,cast128-cbc,rc2-cbc@ssh.com,arcfour,none
Supported MAC algorithms:
hmac-md5,hmac-md5-96,hmac-sha1,hmac-sha1-96,hmac-sha256@ssh.com,hmac-sha256-96@ssh.com,hmac-ripemd160@ssh.com,hmac-ripemd160-96@ssh.com,hmac-tiger128@ssh.com,hmac-tiger128-96@ssh.com,hmac-tiger160@ssh.com,hmac-tiger160-96@ssh.com,hmac-tiger192@ssh.com,hmac-tiger192-96@ssh.com,none
एक और उपयोगी कमांड है: ssh -V
ssh2: SSH Secure Shell 3.2.9 Windows Client
Product: SSH Secure Shell for Workstations
License type: none (non-commercial)
मेरा - मेरे डेस्कटॉप के लिए एक बहुत पुराना क्लाइंट था। ऊपर आप देख सकते हैं कि यह किसी भी - 15 साल बाद - पसंदीदा एल्गोरिदम का समर्थन नहीं करता है, यहां तक कि एक -cbr (घूर्णन), केवल -cbc (ब्लॉक-कॉपी) भी नहीं।
यदि आप क्लाइंट के पास कुंजियों को प्रदान करने का विकल्प नहीं है, तो समर्थित (OpenSSH के पास विकल्प होना चाहिए -Q) बस अपने आप से एक कनेक्शन शुरू करें, जैसे, ssh -v localhostऔर इस तरह की लाइनें हैं जो आपको बताएं कि वाट ज्ञात है:
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: kex_parse_kexinit: ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-grousha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.ssh-dss-cert-v01@openssh.com,ssh-rsa-cert-v00@openssh.com,ssh-dss-cert-v00@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysatiu.se
...
और जो मिला (और इस्तेमाल किया गया):
debug2: mac_setup: found hmac-sha1
debug1: kex: server->client aes128-ctr hmac-sha1 none
debug2: mac_setup: found hmac-sha1
debug1: kex: client->server aes128-ctr hmac-sha1 none
अतिरिक्त: एक विफल कनेक्ट से डीबग जानकारी - अधिक जानकारी
या, क्या कोशिश की गई थी, लेकिन चूक गए।
debug: OpenSSH: Major: 7 Minor: 3 Revision: 0
debug: Ssh2Transport: All versions of OpenSSH handle kex guesses incorrectly.
debug: Ssh2Transport: Algorithm negotiation failed for c_to_s_cipher: client list: aes128-cbc,3des-cbc,twofish128-cbc,cast128-cbc,twofish-cbc,blowfish-cbc,aes192-cbc,aes256-cbc,twofish192-cbc,twofish256-cbc,arcfour vs. server list : chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug: Ssh2Transport: Algorithm negotiation failed for s_to_c_cipher: client list: aes128-cbc,3des-cbc,twofish128-cbc,cast128-cbc,twofish-cbc,blowfish-cbc,aes192-cbc,aes256-cbc,twofish192-cbc,twofish256-cbc,arcfour vs. server list : chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug: Ssh2Transport: lang s to c: `', lang c to s: `'
debug: Ssh2Transport: Couldn't agree on kex or hostkey alg. (chosen_kex = NULL, chosen_host_key = ssh-rsa)
debug: Ssh2Common: DISCONNECT received: Algorithm negotiation failed.
संपादित करें: 02-Jan-2017 को जोड़ा गया
नया अनुभाग - उन कुंजियों के बारे में जो काम करना बंद कर देती हैं?
मेरे सर्वर पर मेरे पास एक 'पुराना' ग्राहक है और 'नवीनतम' क्लाइंट स्थापित है - और एक सर्वर से जुड़ने के लिए अलग व्यवहार प्राप्त करें। यहाँ यह मुद्दा गलत संगति नहीं है - लेकिन डीएसए पर आधारित एक पुरातन पीकेआई जोड़ी का उपयोग ।
संक्षेप में, ओपनश -7 (.3) अब डीएसए सार्वजनिक कुंजी नहीं भेजता (डिफ़ॉल्ट रूप से, शायद बिल्कुल नहीं)।
नीचे मैं दो संस्करणों के आउटपुट की तुलना करता है ओपनश
/ usr / बिन / ssh (पुराना संस्करण, लेफ्ट-साइड) और
/ ऑप्ट / बिन / ssh (नया संस्करण, राइट-साइड) - कमांड है:
${version}/ssh -v user@host date
जैसा कि आप नीचे दिए गए आउटपुट के माध्यम से स्कैन करते हैं, मुझे उम्मीद है कि आप कदम और संदेश आमतौर पर समान हैं। मुख्य अंतर स्ट्रिंग SSH2_MSG_SERVICE_ACCEPT के बाद आता है
जो मैं आपको नोटिस करना चाहता हूं वह यह है कि पुराना संस्करण ऑफ़र करता है (और 'पुराने' सर्वर द्वारा स्वीकार किया जाता है - डीएसए आधारित प्रमुख जोड़ी जबकि नया सर्वर कभी भी डीएसए आधारित कुंजी प्रदान नहीं करता है।
नोट: इसके लिए 'समाधान' में rsa, ecdsa, या ed25519 आधारित PKI जोड़े को जोड़ना (कम से कम एक) है।
OpenSSH_6.0p1, OpenSSL 1.0.2h 3 May 2016 | OpenSSH_7.3p1, OpenSSL 1.0.2h 3 May 2016
debug1: Reading configuration data /etc/ssh/ssh_config | debug1: Reading configuration data /var/openssh/etc/ssh_confi
debug1: Failed dlopen: /usr/krb5/lib/libkrb5.a(libkrb5.a.so): <
0509-026 System error: A file or directory in the pat <
<
debug1: Error loading Kerberos, disabling Kerberos auth. <
debug1: Connecting to x061 [192.168.129.61] port 22. debug1: Connecting to x061 [192.168.129.61] port 22.
debug1: Connection established. debug1: Connection established.
debug1: identity file /home/michael/.ssh/id_rsa type 1 debug1: identity file /home/michael/.ssh/id_rsa type 1
> debug1: key_load_public: No such file or directory
debug1: identity file /home/michael/.ssh/id_rsa-cert type -1 debug1: identity file /home/michael/.ssh/id_rsa-cert type -1
debug1: identity file /home/michael/.ssh/id_dsa type 2 debug1: identity file /home/michael/.ssh/id_dsa type 2
> debug1: key_load_public: No such file or directory
debug1: identity file /home/michael/.ssh/id_dsa-cert type -1 debug1: identity file /home/michael/.ssh/id_dsa-cert type -1
debug1: identity file /home/michael/.ssh/id_ecdsa type 3 debug1: identity file /home/michael/.ssh/id_ecdsa type 3
> debug1: key_load_public: No such file or directory
debug1: identity file /home/michael/.ssh/id_ecdsa-cert type - debug1: identity file /home/michael/.ssh/id_ecdsa-cert type -
debug1: Remote protocol version 2.0, remote software version | debug1: key_load_public: No such file or directory
debug1: match: OpenSSH_6.0 pat OpenSSH* | debug1: identity file /home/michael/.ssh/id_ed25519 type -1
> debug1: key_load_public: No such file or directory
> debug1: identity file /home/michael/.ssh/id_ed25519-cert type
debug1: Enabling compatibility mode for protocol 2.0 debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.0 | debug1: Local version string SSH-2.0-OpenSSH_7.3
> debug1: Remote protocol version 2.0, remote software version
> debug1: match: OpenSSH_6.0 pat OpenSSH* compat 0x04000000
> debug1: Authenticating to x061:22 as 'padmin'
debug1: SSH2_MSG_KEXINIT sent debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none | debug1: kex: algorithm: ecdh-sha2-nistp256
debug1: kex: client->server aes128-ctr hmac-md5 none | debug1: kex: host key algorithm: ssh-rsa
> debug1: kex: server->client cipher: aes128-ctr MAC: umac-64@o
> debug1: kex: client->server cipher: aes128-ctr MAC: umac-64@o
debug1: sending SSH2_MSG_KEX_ECDH_INIT debug1: sending SSH2_MSG_KEX_ECDH_INIT
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: RSA 9f:0a:4d:a8:1b:ba:e6:d4:1a:b2:cd | debug1: Server host key: ssh-rsa SHA256:ORf5UVI7mRm/9MthM2qXM
debug1: Host 'x061' is known and matches the RSA host key. debug1: Host 'x061' is known and matches the RSA host key.
debug1: Found key in /home/michael/.ssh/known_hosts:57 debug1: Found key in /home/michael/.ssh/known_hosts:57
debug1: ssh_rsa_verify: signature correct | debug1: rekey after 4294967296 blocks
debug1: SSH2_MSG_NEWKEYS sent debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS debug1: expecting SSH2_MSG_NEWKEYS
> debug1: rekey after 4294967296 blocks
debug1: SSH2_MSG_NEWKEYS received debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server | debug1: Skipping ssh-dss key /home/michael/.ssh/id_dsa - not
debug1: SSH2_MSG_SERVICE_REQUEST sent <
debug1: SSH2_MSG_SERVICE_ACCEPT received debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey debug1: Next authentication method: publickey
debug1: Offering RSA public key: /home/michael/.ssh/id_rsa debug1: Offering RSA public key: /home/michael/.ssh/id_rsa
debug1: Authentications that can continue: publickey,password debug1: Authentications that can continue: publickey,password
debug1: Offering DSA public key: /home/michael/.ssh/id_dsa | debug1: Offering ECDSA public key: /home/michael/.ssh/id_ecds
debug1: Server accepts key: pkalg ssh-dss blen 433 | debug1: Authentications that can continue: publickey,password
debug1: read PEM private key done: type DSA | debug1: Trying private key: /home/michael/.ssh/id_ed25519
debug1: Authentication succeeded (publickey). | debug1: Next authentication method: keyboard-interactive
Authenticated to x061 ([192.168.129.61]:22). | debug1: Authentications that can continue: publickey,password
debug1: channel 0: new [client-session] | debug1: Next authentication method: password
debug1: Requesting no-more-sessions@openssh.com | padmin@x061's password:
debug1: Entering interactive session. |