Wie aktiviere ich den diffie-hellman-group1-sha1-Schlüsselaustausch unter Debian 8.0?

66

Ich kann nicht an einen Server senden, der nach einer diffie-hellman-group1-sha1Schlüsselaustauschmethode fragt :

ssh 123.123.123.123
Unable to negotiate with 123.123.123.123 port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1

Wie aktiviere ich die diffie-hellman-group1-sha1Schlüsselaustauschmethode unter Debian 8.0?

Ich habe versucht (wie hier vorgeschlagen ) zu

  1. füge die folgenden Zeilen zu meiner hinzu /etc/ssh/ssh_config

    KexAlgorithms diffie-hellman-group1-sha1,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
    Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr
    
  2. Schlüssel neu generieren mit

    ssh-keygen -A
    
  3. starte ssh mit neu

    service ssh restart
    

    bekomme aber trotzdem den fehler.

j1088099.mvrht.com.
quelle
Das gleiche passiert mir mit Debian 9.
Rui F Ribeiro
Versuchen Sie diese Diffie-Hellman-Gruppe-Austausch-sha256
Miguel

Antworten:

93

Die OpenSSH-Website verfügt über eine Seite, die älteren Themen wie diesem gewidmet ist. Auf dem Client wird der folgende Ansatz vorgeschlagen :

ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 123.123.123.123

oder dauerhaft hinzufügen

Host 123.123.123.123
    KexAlgorithms +diffie-hellman-group1-sha1

zu ~/.ssh/config.

Dadurch werden die alten Algorithmen auf dem Client aktiviert , sodass eine Verbindung zum Server hergestellt werden kann.

Stephen Kitt
quelle
Ich war auch heute mit diesem Problem konfrontiert, aber das lag am Netzwerk. Ich habe das Netzwerk geändert und das Problem war
behoben
Versuchte oben, aber bekamUnable to negotiate with 192.168.1.123 port 22222: no matching cipher found. Their offer: aes128-cbc,3des-cbc,aes256-cbc,twofish256-cbc,twofish-cbc,twofish128-cbc,blowfish-cbc
typelogic
@ifelsemonkey, das ist ein anderes Problem, beachten Sie, dass das Angebot, das Sie erhalten, nicht mit dem in der Frage übereinstimmt.
Stephen Kitt
2
Bestätigt, dass es ein anderes Problem war. Ich konnte es beheben, indem ich den folgenden Eintrag in meine ~/.ssh/configDatei einfügte. Host 192.168.1.123und darunter Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc.
typelogic
18

Ich habe diese Lösung ausprobiert, aber mein Problem war, dass ich viele (ältere) Clients hatte, die eine Verbindung zu meinem kürzlich aktualisierten Server (Ubuntu 14 -> Ubuntu 16) herstellten.

Die Änderung von openssh6 -> openssh7 deaktiviert standardmäßig die diffie-hellman-group1-sha1Schlüsselaustauschmethode.

Nachdem ich dies und das gelesen hatte, fand ich die Änderungen, die ich an der /etc/ssh/sshd_configDatei vornehmen musste :

#Legacy changes
KexAlgorithms +diffie-hellman-group1-sha1
Ciphers +aes128-cbc

Es wird jedoch eine größere Anzahl von Änderungen vorgenommen (von hier übernommen ).

#Legacy changes
KexAlgorithms diffie-hellman-group1-sha1,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr
Eine Stange
quelle
4
Hoffentlich können Sie Ihre Clients irgendwann aktualisieren, die alten Algorithmen wurden aus sehr guten Gründen deaktiviert und sollten nicht leichtfertig wieder aktiviert werden (Sie erkennen wahrscheinlich, dass ich es für andere Leser nur als erwähnenswert erachtet habe).
Stephen Kitt
1
Dies funktioniert auf der Serverseite (im Gegensatz zu der sehr ähnlichen, akzeptierten Antwort, die sich auf die Clientseite konzentrierte.)
Knb
Ich versuche, das gleiche zu verwenden, um die alten Schlüssel zu aktivieren. aber da ich ein Neuling bin ich weiß nicht wirklich , was IP zu platzieren , wenn ich ssh schreiben -oKexAlgorithms = + Diffie-Hellman-Gruppe 1-SHA1 123.123.123.123
Yousi
Zukünftigen Benutzern wurde eine Verbindung über SSH von einem Mac mit OpenSSH_7.9p1 zu einem Cisco 3750-Switch hergestellt, auf dem Folgendes ausgeführt wird: Cisco IOS-Software, C3750-Software (C3750-IPSERVICESK9-M), Version 12.2 (55) SE12, RELEASE SOFTWARE (fc2). Ich habe Folgendes zur Client-Konfiguration hinzugefügt und konnte ssh in: KexAlgorithms + diffie-hellman-group1-sha1 Chiffren + aes128-cbc
DYoung