Per SSH auf alte Kisten

Aus Sicherheitsgründen sind bei SSH bestimmte Algorithmen deaktiviert. Wenn man nun z.B. alte Netzwerkhardware rumliegen hat, auf die erst mal ein Firmwareupdate drauf muss, scheitert es schon daran, dass man nicht mal mehr per SSH drauf kommt.

Ein möglicher Fehler kann sein, dass der Typ des Host-Schlüssels nicht mehr unterstützt wird.

Unable to negotiate with 192.168.1.1 port 22: no matching host key type found. Their offer: ssh-dss

Die Fehlermeldung sagt es schon, hier müssen wir ssh-dss wieder aktivieren. Das geht entweder einmalig

ssh -oHostKeyAlgorithms=+ssh-dss root@192.168.1.1

oder dauerhaft in der ~/.ssh/config, falls sich der Host nicht updaten lässt:

Host 192.168.1.1
  HostKeyAlgorithms=+ssh-dss

Eine weitere Problemquelle ist die Verschlüsselung selbst:

Unable to negotiate with 192.168.1.2 port 22: no matching cipher found. Their offer: aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc

Auch hier kann man wieder direkt in der Kommandozeile oder in der Konfiguration Abhilfe schaffen.

ssh -c aes256-cbc root@192.168.1.2

bzw.

Host 192.168.1.2
  Ciphers +aes256-cbc

2 Gedanken zu „Per SSH auf alte Kisten

  1. Dodobird

    Netzwerk-Appliances mit veralteten Ciphern, Auth-Keys und Message authentication besser nicht mehr von aussen erreichbar machen, sondern hinter einem SSH-Gateway verstecken. Mit der jumphost-Option in OpenSSH bereitet eine Verbindung im Alltag nur wenig Zusatzaufwand.

    Antworten
    1. dakira Beitragsautor

      Das ist klar. Aber irgendwie muss man ja trotzdem erst mal draufkommen. Aber wie ich eingangs gesagt habe. Wenn man das Firmware-Update installiert hat, ist i.d.R. ja auch der SSH stack wieder aktuell. Wenn das nicht möglich ist, würde ich die Kiste nicht mehr einsetzen.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.