subject:"Debian 11, openssh server, ssh\-1 toegang voor 1 client, hoe\?"

Re: Debian 11, openssh server, ssh-1 toegang voor 1 client, hoe?

2021-11-24 Berichten over hetzelfde onderwerp Wouter Verhelst

On Wed, Nov 17, 2021 at 05:17:48PM +0100, Gĳs Hillenius wrote:
> Hallo!
> 
> Ik heb een app op mijn mobiel die sinds Debian 11 niet meer bij de ssh
> server mag. De server log:
> 
> ,
> | sshd[1646154]: Unable to negotiate with 2a01:4f8:200:546b:1::3 port
> | 48559: no matching key exchange method found. Their offer:
> | diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffi
> | e-hellman-group-exchange-sha1 [preauth]
> `
> 
> De (open source) app wordt allang niet meer onderhouden, de ontwikkelaar
> gaf het op, en ik ben nog lang niet zo ver dat ik het kan overnemen.
> 
> 
> Wat ik wel kan, denk ik, is de ssh server vertellen dat vanaf dat ene IP
> address ssh-1 toegestaan is?

Het probleem is niet ssh-1; het probleem is SHA-1 als MAC.

https://shattered.io/ is... "interessant".

Je kan eventueel de SHA1 ciphersuites terug aanzetten, maar da's niet
echt een goed idee, vooral niet als je server vanop het grote boze
Internet bereikbaar is.

-- 
 w@uter.{be,co.za}
wouter@{grep.be,fosdem.org,debian.org}

Re: (ssh-1 ongefixst maar probleem anders opgelost) Re: Debian 11, openssh server, ssh-1 toegang voor 1 client, hoe?

2021-11-20 Berichten over hetzelfde onderwerp Richard Lucassen

On Thu, 18 Nov 2021 15:33:46 +0100
Gĳs Hillenius  wrote:

> Wellicht wijst iemand me binnenkort terecht terecht dat ik niet moet
> peuteren aan de veiligheidsknoppen van SSH.
> 
> Ik heb mijn onderliggende probleem (met een legacy Android app)
> inmiddels op een andere manier opgelost.

Het blijft ook een eeuwig probleem. Net zoals browsers die niet meer
willen connecten met bijv een oudere versie ILO van een HP server. Oude
spullen gebruiken, al dan niet in een VM is dan de oplossing. Voor
Debian is er het pakket openssh-client-ssh1 (dat is dan voor jou wel in
de andere richting):

secure shell (SSH) client for legacy SSH1 protocol

Nadeeltje is wel dat-ie out of the box de "normale" ssh_config
gebruikt en daardoor gaat zeuren, je zult dus een ssh1_config moeten
aanmaken en die specifiek moeten gebruiken.

Maar kun je sshd in de configs niet zo maken dat-ie toch die oude
ciphers accepteert?

Er is zo te zien geen pakket openssh-server-ssh1 die je op een andere
poort kan laten draaien met een firewall ervoor.

-- 
richard lucassen
http://contact.xaq.nl/

(ssh-1 ongefixst maar probleem anders opgelost) Re: Debian 11, openssh server, ssh-1 toegang voor 1 client, hoe?

2021-11-18 Berichten over hetzelfde onderwerp Gĳs Hillenius



Wellicht wijst iemand me binnenkort terecht terecht dat ik niet moet
peuteren aan de veiligheidsknoppen van SSH.

Ik heb mijn onderliggende probleem (met een legacy Android app)
inmiddels op een andere manier opgelost.


Dank voor het meeluisteren


Gijs

Debian 11, openssh server, ssh-1 toegang voor 1 client, hoe?

2021-11-17 Berichten over hetzelfde onderwerp Gĳs Hillenius

Hallo!

Ik heb een app op mijn mobiel die sinds Debian 11 niet meer bij de ssh
server mag. De server log:

,
| sshd[1646154]: Unable to negotiate with 2a01:4f8:200:546b:1::3 port
| 48559: no matching key exchange method found. Their offer:
| diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffi
| e-hellman-group-exchange-sha1 [preauth]
`

De (open source) app wordt allang niet meer onderhouden, de ontwikkelaar
gaf het op, en ik ben nog lang niet zo ver dat ik het kan overnemen.


Wat ik wel kan, denk ik, is de ssh server vertellen dat vanaf dat ene IP
address ssh-1 toegestaan is?

Ik ben aan het puzzelen met de man page en zoekmachines. Maar de juiste
oplossing heb ik nog niet,

verslag van mijn pogingen:

1) Een bestandje geheten "mobileapp.conf", in de directory
/etc/sshd_config.d/ (op de server) met als inhoud:

,
| Match Address 2a01:4f8:200:546b:1::3/80
| 
HostKeyAlgorithms=diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1
`

maar daarin verslikte zich de ssh server:

,
| systemd[1]: ssh.service: Start request repeated too quickly.
| Nov 17 16:55:04 metonym systemd[1]: ssh.service: Failed with result 
'exit-code'.
|  Subject: Unit failed
|  Defined-By: systemd
|  Support: https://www.debian.org/support
|  
|  The unit ssh.service has entered the 'failed' state with result 'exit-code'.
| systemd[1]: Failed to start OpenBSD Secure Shell server.
|  Subject: A start job for unit ssh.service has failed
|  Defined-By: systemd
|  Support: https://www.debian.org/support
|  
|  A start job for unit ssh.service has finished with a failure.
|  
|  The job identifier is 265795 and the job result is failed.
`

een tweede variant, waarin ik HostKeyAlgorithms verving door
KexAlgorithms

zette de ssh server ook al op slot.

verder lezen leerde me dat een Match block op het eind van de config
moet staan. Die twee regels van hierboven op het einde van sshd_config,
dat geeft diezelfde fout.

Als iemand weet wat ik wel moet doen?

Re: Debian 11, openssh server, ssh-1 toegang voor 1 client, hoe?

Re: (ssh-1 ongefixst maar probleem anders opgelost) Re: Debian 11, openssh server, ssh-1 toegang voor 1 client, hoe?

(ssh-1 ongefixst maar probleem anders opgelost) Re: Debian 11, openssh server, ssh-1 toegang voor 1 client, hoe?

Debian 11, openssh server, ssh-1 toegang voor 1 client, hoe?

4 matches

Site Navigation

Mail list logo

Footer information