Re: sshd Match regel
On Wed, 21 Feb 2024 16:21:35 +0100 Roland Clobus wrote: > On 21/02/2024 16:08, Paul van der Vlis wrote: > > Wie heeft een tip > > Ik heb nog een (zeer) oude Linksys WRT staan, die kan ik benaderen > met: > > ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 > -oHostKeyAlgorithms=+ssh-rsa username@mylocalip > > Ik heb met ssh -v username@mylocalip de waarde voor -oKexAlgorithms > gevonden. Even ter info: onder Debian heb je een package dat openssh-client-ssh1 heet. Enige nadeel is dat-ie de /etc/ssh/ssh_config uitleest en niet bijvoorbeeld een /etc/ssh/ssh1_config. Even scripten dus met een eigen config file. Er is ook een scp1 in dat package. -- richard lucassen http://contact.xaq.nl/
Opgelost (maar heel anders) Re: sshd Match regel
hallo Het ging om een versie van Curl .. dan sftp://file-server wilde doen met alleen rsa/dsa. De SSH op dezelfde host ondersteunen ecdsa en zo gewoon. Allebei MotioneyeOS, voor het laatst opgewaardeed in 2020. Ik zag geen manier om Curl te vertellen ecdsa te doen. Dus ... Ik heb het transport omgedraaid.. ik haal nu de files op vanaf de file server, dat kan met een cron job.
Re: sshd Match regel
Hallo Paul, On 21/02/2024 16:08, Paul van der Vlis wrote: Wie heeft een tip Ik heb nog een (zeer) oude Linksys WRT staan, die kan ik benaderen met: ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 -oHostKeyAlgorithms=+ssh-rsa username@mylocalip Ik heb met ssh -v username@mylocalip de waarde voor -oKexAlgorithms gevonden. Met vriendelijke groeten, Roland Clobus OpenPGP_signature.asc Description: OpenPGP digital signature
Re: sshd Match regel
Hoi Gijs en anderen, Op 20-02-2024 om 21:18 schreef Geert Stappers: On Tue, Feb 20, 2024 at 08:06:22AM +0100, Gijs Hillenius wrote: On 19 February 2024 18:26 Rik Theys, wrote: Beste, On Mon, Feb 19, 2024 at 5:53 PM Gijs Hillenius wrote: Iets als, onderaan sshd_config dit: , | Match User webcams | PubkeyAcceptedKeyTypes ssh-rsa,ssh-dss ` ssh lijkt dat te willen snappen. Desondanks verschijnt dezelfde foutmelding in auth.log. De clients bevestigen: "unable to exchange encryption keys." Als ik op de server doe: ssh localhost -Q HostKeyAlgorithms daar zie ik toch ssh-dss en ssh-rsa staan. Maar ... niet de "oude"? Wie heeft een tip De -Q optie geeft een lijst van ondersteunde algorithms, daarom niet degene die actief zijn? Ik zou eens proberen met een Match op het IP adres ipv de gebruikersnaam. Mogelijk is de uitwisseling van de gebruikersnaam pas na het tot stand komen van de encryptie? Ow! dank voor het meedenken, dat helpt. Idd, ik zie in de ssh logs niet die username. Maar , | Match Address 192.168.123.42 | PubkeyAcceptedKeyTypes ssh-rsa,ssh-dss ` geeft helaas dezelfde melding in de log. sudo /usr/sbin/sshd -d Dat is inderdaad een heel goede tip om ssh problemen te debuggen. Maar je moet het op de server draaien, en wellicht op een andere poort omdat je jezelf anders buitensluit. En die poort moet uiteraard wel openstaan. Soms kun je wel even de poort van een andere applicatie gebruiken als je die applicatie sluit, bijvoorbeeld poort 80 als je een aanwezige webserver sluit. Groet, Paul -- Paul van der Vlis Linux systeembeheer Groningen https://vandervlis.nl/
Re: sshd Match regel
On Tue, Feb 20, 2024 at 08:06:22AM +0100, Gijs Hillenius wrote: > On 19 February 2024 18:26 Rik Theys, wrote: > > > Beste, > > > > On Mon, Feb 19, 2024 at 5:53 PM Gijs Hillenius wrote: > > > >> > >> > >> Iets als, onderaan sshd_config dit: > >> > >> , > >> | Match User webcams > >> | PubkeyAcceptedKeyTypes ssh-rsa,ssh-dss > >> ` > >> > >> ssh lijkt dat te willen snappen. Desondanks verschijnt dezelfde > >> foutmelding in auth.log. De clients bevestigen: "unable to exchange > >> encryption keys." > >> > >> Als ik op de server doe: > >> > >> ssh localhost -Q HostKeyAlgorithms > >> > >> > >> daar zie ik toch ssh-dss en ssh-rsa staan. > >> > >> Maar ... niet de "oude"? > >> > >> Wie heeft een tip > >> > >> > > > De -Q optie geeft een lijst van ondersteunde algorithms, daarom niet > > degene die actief zijn? Ik zou eens proberen met een Match op het IP > > adres ipv de gebruikersnaam. Mogelijk is de uitwisseling van de > > gebruikersnaam pas na het tot stand komen van de encryptie? > > Ow! dank voor het meedenken, dat helpt. > > Idd, ik zie in de ssh logs niet die username. > > Maar > > , > | Match Address 192.168.123.42 > | PubkeyAcceptedKeyTypes ssh-rsa,ssh-dss > ` > > geeft helaas dezelfde melding in de log. > sudo /usr/sbin/sshd -d Voor een beter bericht heb ik nu geen tijd. Groeten Geert Stappers -- Silence is hard to parse
Re: sshd Match regel
On 19 February 2024 18:26 Rik Theys, wrote: > Beste, > > On Mon, Feb 19, 2024 at 5:53 PM Gijs Hillenius wrote: > >> >> >> Iets als, onderaan sshd_config dit: >> >> , >> | Match User webcams >> | PubkeyAcceptedKeyTypes ssh-rsa,ssh-dss >> ` >> >> ssh lijkt dat te willen snappen. Desondanks verschijnt dezelfde >> foutmelding in auth.log. De clients bevestigen: "unable to exchange >> encryption keys." >> >> Als ik op de server doe: >> >> ssh localhost -Q HostKeyAlgorithms >> >> >> daar zie ik toch ssh-dss en ssh-rsa staan. >> >> Maar ... niet de "oude"? >> >> Wie heeft een tip >> >> > De -Q optie geeft een lijst van ondersteunde algorithms, daarom niet > degene die actief zijn? Ik zou eens proberen met een Match op het IP > adres ipv de gebruikersnaam. Mogelijk is de uitwisseling van de > gebruikersnaam pas na het tot stand komen van de encryptie? Ow! dank voor het meedenken, dat helpt. Idd, ik zie in de ssh logs niet die username. Maar , | Match Address 192.168.123.42 | PubkeyAcceptedKeyTypes ssh-rsa,ssh-dss ` geeft helaas dezelfde melding in de log.
Re: sshd Match regel
Beste, On Mon, Feb 19, 2024 at 5:53 PM Gijs Hillenius wrote: > > > Iets als, onderaan sshd_config dit: > > , > | Match User webcams > | PubkeyAcceptedKeyTypes ssh-rsa,ssh-dss > ` > > ssh lijkt dat te willen snappen. Desondanks verschijnt dezelfde > foutmelding in auth.log. De clients bevestigen: "unable to exchange > encryption keys." > > Als ik op de server doe: > > ssh localhost -Q HostKeyAlgorithms > > > daar zie ik toch ssh-dss en ssh-rsa staan. > > Maar ... niet de "oude"? > > Wie heeft een tip > > > De -Q optie geeft een lijst van ondersteunde algorithms, daarom niet degene die actief zijn? Ik zou eens proberen met een Match op het IP adres ipv de gebruikersnaam. Mogelijk is de uitwisseling van de gebruikersnaam pas na het tot stand komen van de encryptie? Mvg, Rik
sshd Match regel
Hoi Ik heb sinds een inbraak in 2019 enige simpele (zelfgebouwde) embedded webcameraatjes draaien. Put, koe, inderdaad. Maar dat terzijde. Nou blijken die cameraatjes sinds enige tijd alweer hun filmpjes niet te kopieren naar de file server op zolder. Op die server Debian stable, draait openssh 1:9.2p1-2+deb12u2, en de logs laten zien: no matching host key type found. Their offer: ssh-rsa,ssh-dss [preauth] ssh dus te oud, op die webcammetjes. Updaten van die cammetjes dat blijkt een heel gedoe.. en... nou leek het me voor de korte termijn een oplossing om op de ssh server voor de webcammetjes een uitzondering te maken. Iets als, onderaan sshd_config dit: , | Match User webcams | PubkeyAcceptedKeyTypes ssh-rsa,ssh-dss ` ssh lijkt dat te willen snappen. Desondanks verschijnt dezelfde foutmelding in auth.log. De clients bevestigen: "unable to exchange encryption keys." Als ik op de server doe: ssh localhost -Q HostKeyAlgorithms ssh-ed25519 ssh-ed25519-cert-...@openssh.com sk-ssh-ed25...@openssh.com sk-ssh-ed25519-cert-...@openssh.com ecdsa-sha2-nistp256 ecdsa-sha2-nistp256-cert-...@openssh.com ecdsa-sha2-nistp384 ecdsa-sha2-nistp384-cert-...@openssh.com ecdsa-sha2-nistp521 ecdsa-sha2-nistp521-cert-...@openssh.com sk-ecdsa-sha2-nistp...@openssh.com sk-ecdsa-sha2-nistp256-cert-...@openssh.com webauthn-sk-ecdsa-sha2-nistp...@openssh.com ssh-dss ssh-dss-cert-...@openssh.com ssh-rsa ssh-rsa-cert-...@openssh.com rsa-sha2-256 rsa-sha2-256-cert-...@openssh.com rsa-sha2-512 rsa-sha2-512-cert-...@openssh.com ssh localhost -Q sig ssh-ed25519 sk-ssh-ed25...@openssh.com ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521 sk-ecdsa-sha2-nistp...@openssh.com webauthn-sk-ecdsa-sha2-nistp...@openssh.com ssh-dss ssh-rsa rsa-sha2-256 rsa-sha2-512 daar zie ik toch ssh-dss en ssh-rsa staan. Maar ... niet de "oude"? Wie heeft een tip Dank G