Comment activer l'échange de clé diffie-hellman-group1-sha1 sur Debian 8.0?

66

Je ne parviens pas à ssh sur un serveur qui demande une diffie-hellman-group1-sha1méthode d'échange de clé:

ssh 123.123.123.123
Unable to negotiate with 123.123.123.123 port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1

Comment activer la diffie-hellman-group1-sha1méthode d'échange de clés sur Debian 8.0?

J'ai essayé (comme proposé ici ) de

  1. ajouter les lignes suivantes à mon /etc/ssh/ssh_config

    KexAlgorithms diffie-hellman-group1-sha1,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
    Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr
    
  2. régénérer les clés avec

    ssh-keygen -A
    
  3. redémarrer ssh avec

    service ssh restart
    

    mais toujours avoir l'erreur.

j1088099.mvrht.com.
la source
La même chose m'est arrivé avec Debian 9.
Rui F Ribeiro Le
Essayez cette diffie-hellman-group-exchange-sha256
Miguel

Réponses:

94

Le site Web OpenSSH comporte une page consacrée aux problèmes hérités tels que celui-ci. Il suggère l'approche suivante sur le client :

ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 123.123.123.123

ou plus en permanence, en ajoutant

Host 123.123.123.123
    KexAlgorithms +diffie-hellman-group1-sha1

à ~/.ssh/config.

Cela activera les anciens algorithmes sur le client , lui permettant de se connecter au serveur.

Stephen Kitt
la source
J'ai également rencontré ce problème aujourd'hui, mais cela était dû au réseau. J'ai changé le réseau et la question avait disparu
Luv33preet
Essayé ci-dessus, mais j'aiUnable to negotiate with 192.168.1.123 port 22222: no matching cipher found. Their offer: aes128-cbc,3des-cbc,aes256-cbc,twofish256-cbc,twofish-cbc,twofish128-cbc,blowfish-cbc
typelogic
@ ifelsemonkey c'est un problème différent, notez que l'offre que vous obtenez n'est pas la même que celle de la question.
Stephen Kitt
3
Confirmé que c'était un problème différent. J'ai pu résoudre le problème en ajoutant l'entrée suivante dans mon ~/.ssh/configdossier. Host 192.168.1.123et en dessous Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc.
Typelogic
19

J'ai essayé cette solution, mais mon problème était que de nombreux clients (hérités) se connectaient à mon serveur récemment mis à niveau (ubuntu 14 -> ubuntu 16).

La modification de openssh6 -> openssh7 a désactivé par défaut la diffie-hellman-group1-sha1méthode d’échange de clés.

Après avoir lu ceci et cela, je suis arrivé avec les modifications que je devais faire au /etc/ssh/sshd_configfichier:

#Legacy changes
KexAlgorithms +diffie-hellman-group1-sha1
Ciphers +aes128-cbc

Mais un ensemble de changements hérité plus large est (pris d' ici )

#Legacy changes
KexAlgorithms diffie-hellman-group1-sha1,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr
une tige
la source
4
Espérons que vous pourrez mettre à niveau vos clients à un moment donné, les algorithmes existants ont été désactivés pour de très bonnes raisons et ne doivent pas être réactivés à la légère (vous vous en rendez probablement compte, je pensais que ça valait la peine de le signaler aux autres lecteurs).
Stephen Kitt
1
Cela fonctionne du côté du serveur (contrairement à la réponse très similaire et acceptée qui était axée sur le côté client.)
knb
J'essaie d'utiliser la même chose pour activer les anciennes clés. mais depuis que je suis un débutant, je ne sais pas vraiment quelle adresse IP placer quand j'écris ssh -oKexAlgorithms = + diffie-hellman-group1-sha1 123.123.123.123
Yousi
À ajouter aux futurs utilisateurs, je me connectais via SSH à partir d’un Mac sous OpenSSH_7.9p1 à un commutateur Cisco 3750 sous: logiciel Cisco IOS, logiciel C3750 (C3750-IPSERVICESK9-M), version 12.2 (55) SE12, LOGICIEL À DISTANCE (FC2). J'ai ajouté ce qui suit à la configuration du client et j'ai pu entrer dans ssh: KexAlgorithms + diffie-hellman-group1-sha1 Ciphers + aes128-
cbc