Re: Debian 11, openssh server, ssh-1 toegang voor 1 client, hoe?
On Wed, Nov 17, 2021 at 05:17:48PM +0100, Gijs Hillenius wrote: > Hallo! > > Ik heb een app op mijn mobiel die sinds Debian 11 niet meer bij de ssh > server mag. De server log: > > , > | sshd[1646154]: Unable to negotiate with 2a01:4f8:200:546b:1::3 port > | 48559: no matching key exchange method found. Their offer: > | diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffi > | e-hellman-group-exchange-sha1 [preauth] > ` > > De (open source) app wordt allang niet meer onderhouden, de ontwikkelaar > gaf het op, en ik ben nog lang niet zo ver dat ik het kan overnemen. > > > Wat ik wel kan, denk ik, is de ssh server vertellen dat vanaf dat ene IP > address ssh-1 toegestaan is? Het probleem is niet ssh-1; het probleem is SHA-1 als MAC. https://shattered.io/ is... "interessant". Je kan eventueel de SHA1 ciphersuites terug aanzetten, maar da's niet echt een goed idee, vooral niet als je server vanop het grote boze Internet bereikbaar is. -- w@uter.{be,co.za} wouter@{grep.be,fosdem.org,debian.org}
Re: (ssh-1 ongefixst maar probleem anders opgelost) Re: Debian 11, openssh server, ssh-1 toegang voor 1 client, hoe?
On Thu, 18 Nov 2021 15:33:46 +0100 Gijs Hillenius wrote: > Wellicht wijst iemand me binnenkort terecht terecht dat ik niet moet > peuteren aan de veiligheidsknoppen van SSH. > > Ik heb mijn onderliggende probleem (met een legacy Android app) > inmiddels op een andere manier opgelost. Het blijft ook een eeuwig probleem. Net zoals browsers die niet meer willen connecten met bijv een oudere versie ILO van een HP server. Oude spullen gebruiken, al dan niet in een VM is dan de oplossing. Voor Debian is er het pakket openssh-client-ssh1 (dat is dan voor jou wel in de andere richting): secure shell (SSH) client for legacy SSH1 protocol Nadeeltje is wel dat-ie out of the box de "normale" ssh_config gebruikt en daardoor gaat zeuren, je zult dus een ssh1_config moeten aanmaken en die specifiek moeten gebruiken. Maar kun je sshd in de configs niet zo maken dat-ie toch die oude ciphers accepteert? Er is zo te zien geen pakket openssh-server-ssh1 die je op een andere poort kan laten draaien met een firewall ervoor. -- richard lucassen http://contact.xaq.nl/
(ssh-1 ongefixst maar probleem anders opgelost) Re: Debian 11, openssh server, ssh-1 toegang voor 1 client, hoe?
Wellicht wijst iemand me binnenkort terecht terecht dat ik niet moet peuteren aan de veiligheidsknoppen van SSH. Ik heb mijn onderliggende probleem (met een legacy Android app) inmiddels op een andere manier opgelost. Dank voor het meeluisteren Gijs
Debian 11, openssh server, ssh-1 toegang voor 1 client, hoe?
Hallo! Ik heb een app op mijn mobiel die sinds Debian 11 niet meer bij de ssh server mag. De server log: , | sshd[1646154]: Unable to negotiate with 2a01:4f8:200:546b:1::3 port | 48559: no matching key exchange method found. Their offer: | diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffi | e-hellman-group-exchange-sha1 [preauth] ` De (open source) app wordt allang niet meer onderhouden, de ontwikkelaar gaf het op, en ik ben nog lang niet zo ver dat ik het kan overnemen. Wat ik wel kan, denk ik, is de ssh server vertellen dat vanaf dat ene IP address ssh-1 toegestaan is? Ik ben aan het puzzelen met de man page en zoekmachines. Maar de juiste oplossing heb ik nog niet, verslag van mijn pogingen: 1) Een bestandje geheten "mobileapp.conf", in de directory /etc/sshd_config.d/ (op de server) met als inhoud: , | Match Address 2a01:4f8:200:546b:1::3/80 | HostKeyAlgorithms=diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1 ` maar daarin verslikte zich de ssh server: , | systemd[1]: ssh.service: Start request repeated too quickly. | Nov 17 16:55:04 metonym systemd[1]: ssh.service: Failed with result 'exit-code'. | Subject: Unit failed | Defined-By: systemd | Support: https://www.debian.org/support | | The unit ssh.service has entered the 'failed' state with result 'exit-code'. | systemd[1]: Failed to start OpenBSD Secure Shell server. | Subject: A start job for unit ssh.service has failed | Defined-By: systemd | Support: https://www.debian.org/support | | A start job for unit ssh.service has finished with a failure. | | The job identifier is 265795 and the job result is failed. ` een tweede variant, waarin ik HostKeyAlgorithms verving door KexAlgorithms zette de ssh server ook al op slot. verder lezen leerde me dat een Match block op het eind van de config moet staan. Die twee regels van hierboven op het einde van sshd_config, dat geeft diezelfde fout. Als iemand weet wat ik wel moet doen?