Làm cách nào để bật trao đổi khóa diffie-hellman-group1-sha1 trên Debian 8.0?


66

Tôi không thể ssh đến một máy chủ yêu cầu diffie-hellman-group1-sha1phương thức trao đổi khóa:

ssh 123.123.123.123
Unable to negotiate with 123.123.123.123 port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1

Làm cách nào để kích hoạt diffie-hellman-group1-sha1phương thức trao đổi khóa trên Debian 8.0?

Tôi đã thử (như đề xuất ở đây ) để

  1. thêm các dòng sau vào /etc/ssh/ssh_config

    KexAlgorithms diffie-hellman-group1-sha1,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
    Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr
    
  2. tạo lại các phím với

    ssh-keygen -A
    
  3. khởi động lại ssh với

    service ssh restart
    

    nhưng vẫn nhận được lỗi.


Tôi cũng có điều tương tự xảy ra với tôi với Debian 9.
Rui F Ribeiro

Hãy thử điều này diffie-hellman-group-exchange-sha256
Miguel

Câu trả lời:


93

Trang web OpenSSH có một trang dành riêng cho các vấn đề di sản như trang này. Nó gợi ý cách tiếp cận sau, trên máy khách :

ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 123.123.123.123

hoặc lâu dài hơn, thêm

Host 123.123.123.123
    KexAlgorithms +diffie-hellman-group1-sha1

để ~/.ssh/config.

Điều này sẽ cho phép các thuật toán cũ trên máy khách , cho phép nó kết nối với máy chủ.


Tôi cũng phải đối mặt với vấn đề này ngày hôm nay, nhưng đó là do mạng. Tôi đã thay đổi mạng và vấn đề đã biến mất
Luv33preet

Đã thử ở trên, nhưng đã nhận đượcUnable to negotiate with 192.168.1.123 port 22222: no matching cipher found. Their offer: aes128-cbc,3des-cbc,aes256-cbc,twofish256-cbc,twofish-cbc,twofish128-cbc,blowfish-cbc
typelogic

@ifelsemonkey đó là một vấn đề khác, lưu ý rằng đề nghị bạn nhận được không giống với câu hỏi trong câu hỏi.
Stephen Kitt

2
Khẳng định đó là một vấn đề khác. Tôi đã có thể giải quyết nó bằng cách thêm mục sau vào ~/.ssh/configtập tin của tôi . Host 192.168.1.123và theo nó Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc.
typelogic

18

Tôi đã thử giải pháp này, nhưng vấn đề của tôi là tôi có nhiều máy khách (cũ) kết nối với máy chủ được nâng cấp gần đây của tôi (ubfox 14 -> ubfox 16).

Thay đổi từ openssh6 -> openssh7 bị tắt theo mặc định diffie-hellman-group1-sha1phương thức trao đổi khóa.

Sau khi đọc điều này tôi đã đưa ra những thay đổi tôi cần phải làm với /etc/ssh/sshd_configtập tin:

#Legacy changes
KexAlgorithms +diffie-hellman-group1-sha1
Ciphers +aes128-cbc

Nhưng một tập hợp thay đổi rộng hơn là (lấy từ đây )

#Legacy changes
KexAlgorithms diffie-hellman-group1-sha1,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr

4
Hy vọng rằng bạn sẽ có thể nâng cấp khách hàng của mình vào một lúc nào đó, các thuật toán kế thừa đã bị vô hiệu hóa vì những lý do rất chính đáng và không nên bật lại một cách nhẹ nhàng (bạn có thể nhận ra rằng, tôi chỉ nghĩ rằng nó đáng để chỉ ra cho những độc giả khác).
Stephen Kitt

1
Điều này hoạt động ở phía máy chủ (không giống như câu trả lời được chấp nhận tương tự, tập trung vào phía máy khách.)
knb

tôi đang cố gắng sử dụng tương tự để kích hoạt các phím cũ. nhưng vì tôi là người mới nên tôi thực sự không biết nên đặt IP nào khi tôi viết ssh -oKexAlacticms = + diffie-hellman-group1-sha1 123.123.123.123
Yousi 27/11/18

Để thêm cho những người tương lai tìm thấy, tôi đã kết nối qua SSH từ máy Mac chạy OpenSSH_7.9p1 với bộ chuyển mạch Cisco 3750 đang chạy: Phần mềm Cisco IOS, Phần mềm C3750 (C3750-IPSERVICEK9-M), Phiên bản 12.2 (55) SE12, PHẦN MỀM LIÊN QUAN (fc2). Tôi đã thêm phần sau vào cấu hình máy khách và có thể ssh trong: KexAlacticms + diffie-hellman-group1-sha1 Ciphers + aes128-cbc
DYoung
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.