web-dev-qa-db-fra.com

Groupe DH GEX hors limites

J'ai un problème soudain de SSHing sur mon serveur:

ssh -v --@--
OpenSSH_7.2p2 Ubuntu-4ubuntu1, OpenSSL 1.0.2g-fips  1 Mar 2016
debug1: Reading configuration data /home/paul/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to -- [--] port 22.
debug1: Connection established.
debug1: identity file /home/paul/.ssh/id_rsa type 1
debug1: key_load_public: No such file or directory
debug1: identity file /home/paul/.ssh/id_rsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/paul/.ssh/id_dsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/paul/.ssh/id_dsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/paul/.ssh/id_ecdsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/paul/.ssh/id_ecdsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/paul/.ssh/id_ed25519 type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/paul/.ssh/id_ed25519-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu1
debug1: Remote protocol version 1.99, remote software version OpenSSH_6.6.1p1
debug1: match: OpenSSH_6.6.1p1 pat OpenSSH_6.6.1* compat 0x04000000
debug1: Authenticating to --:22 as 'root'
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: diffie-hellman-group-exchange-sha1
debug1: kex: Host key algorithm: ssh-rsa
debug1: kex: server->client cipher: aes128-cbc MAC: hmac-sha1 compression: none
debug1: kex: client->server cipher: aes128-cbc MAC: hmac-sha1 compression: none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(2048<7680<8192) sent
debug1: got SSH2_MSG_KEX_DH_GEX_GROUP
ssh_dispatch_run_fatal: Connection to -- port 22: DH GEX group out of range

J'ai lu cette question SSH: DH_GEX group out of range longuement mais il ne semble pas y répondre. Je contrôle à la fois le client et le serveur, ils utilisent tous les deux OpenSSH et Ubuntu Linux. Pas de tierce partie. L'erreur semble un peu différente aussi, elle ne se plaint pas de la taille du bit.

8
PaulBGD

Il semble que vous exécutiez un nouveau client OpenSSH (OpenSSH 7.2p2) contre un plus ancien Serveur OpenSSH (OpenSSH 6.6.1p1). Dans les notes de version d'OpenSSH 7.1p2 , il mentionne:

  • ssh (1), sshd (8): augmentez la taille de module minimale prise en charge pour l'échange de groupe diffie-hellman à 2048 bits.

D'après le message d'erreur signalé, il semble que ce soit votre client qui refuse la valeur d'échange du groupe DH présentée par le _serveur.

Ainsi, je me demande si le "problème soudain" a commencé à se produire au moment où votre machine cliente avait des packages/mises à jour appliqués.

D'après ce SecurityExchange post , qui décrit un problème très similaire, la "solution" peut être de a) modifier le /etc/ssh/moduli fichier côté serveur de sorte que le serveur n'utilise pas de groupes DH inférieurs à 2048 bits, ou b) mettez à niveau le serveur vers OpenSSH 7.1p2 ou plus tard.

5
Castaglia

Si vous souhaitez utiliser OpenSSH plus récent pour vous connecter à des serveurs obsolètes:

ssh -o KexAlgorithms=diffie-hellman-group14-sha1 -o HostKeyAlgorithms=+ssh-dss my.Host.com

Ajoutez -v si vous voulez voir ce qui se passe et -o HostKeyAlgorithms = ssh-dss si cela ne fonctionne toujours pas:

ssh -v -o HostKeyAlgorithms=ssh-dss -o KexAlgorithms=diffie-hellman-group14-sha1 my.Host.com

Vous pouvez également, bien sûr, éditer/etc/ssh/ssh_config ou ~/.ssh/ssh_config, et ajouter:

Host my.Host.com *.myinsecure.net 192.168.1.* 192.168.2.*
    HostKeyAlgorithms ssh-dss
    KexAlgorithms diffie-hellman-group1-sha1    

https://forum.ctwug.za.net/t/fyi-openssh-to-access-rbs-openssh-7/6069 mentionne le correctif suivant sur les cartes de routeur Mikrotik:

/ip ssh set strong-crypto=yes

(Notez cela ici, car cette réponse apparaît également dans les recherches sur le Web lorsque vous recherchez un message d'erreur similaire.)

Si vous souhaitez l'utiliser sur Git sans modifier votre ssh_config ou mettre à jour le serveur SSH:

GIT_SSH="ssh -oHostKeyAlgorithms=+ssh-dss -oKexAlgorithms=diffie-hellman-group14-sha1" git clone ssh://user@Host/path-to-repository
9
Dagelf