Tenho o seguinte sistema Linux antigo e uso uma ferramenta de software proprietária que tenta copiar arquivos (com sftp ou curl) para um sistema Linux mais novo, mas falha. Os sistemas são:
| Propriedade | Sistema Originador | Sistema de destino |
|---|---|---|
| SO | Derivado do CentOS 7 | Rocky Linux 9.5 |
| ssh -V | OpenSSH_7.4p1, OpenSSL 1.0.2k-fips 26 Jan 2017 |
OpenSSH_8.7p1, OpenSSL 3.2.2 4 Jun 2024 |
Cheirando a troca vemos:
- O pacote de resposta de troca do Grupo Diffie-Hellman do servidor confirma os seguintes parâmetros negociados:
- Algoritmo de troca de chaves (KEX): diffie-hellman-group-exchange-sha256 (corresponde ao suporte do cliente ✅)
- Algoritmo de criptografia: aes128-ctr (corresponde ao suporte do cliente ✅)
- Algoritmo MAC: hmac-sha2-256 (corresponde ao suporte do cliente ✅)
- Compressão: nenhuma (corresponde ao suporte do cliente ✅)
- Tipo de chave do host: ssh-rsa (corresponde ao suporte do cliente ✅, mas veja abaixo)
- Tipo de assinatura do host: rsa-sha2-256 (problema potencial ⚠️)
O tipo de chave de host na resposta KEX do servidor é ssh-rsa, que o cliente suporta. No entanto, o tipo de assinatura usado pelo servidor é rsa-sha2-256, que o cliente não anunciou suporte em sua mensagem SSH_MSG_KEXINIT.
Tenho olhado o arquivo /etc/ssh/ssh_configand /etc/ssh/sshd_configpara uma modificação de configuração que eu poderia fazer no sistema Rocky Linux 9.5 para suportar a troca, mas não encontrei nenhuma. Também tentei adicionar o seguinte a /etc/ssh/sshd_config (conforme proposto por este outro caso ), mas isso também falhou:
# Allow mildly-outdated cipher selection
Ciphers +aes128-cbc
# Allow negotiating cipher key using weak DH
# (only add group1 if you *really* need it)
KexAlgorithms +diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
# Offer SHA1 signatures for host pubkey
HostKeyAlgorithms +ssh-rsa
# Accept SHA1 signatures for client pubkey
PubkeyAcceptedAlgorithms +ssh-rsa
A solução real será atualizar esse antigo derivado do CentOS 7, mas antes de fazer isso preciso fazer a cópia do arquivo funcionar para concluir vários testes.
Estou, portanto, procurando uma solução temporária onde eu modificaria a configuração do sistema Rocky Linux 9.5 para permitir a transferência de arquivos. Alguém sabe qual alteração/adição de configuração deve ser feita?
A raiz do problema é o fato bem estabelecido de que o RHEL 9 usa configurações de criptografia mais fortes por padrão, o que quebra a compatibilidade com sistemas legados.
A segunda parte do problema é que o RHEL 9 e derivados como o Rocky Linux afetam as configurações de criptografia para SSHD de uma forma que contorna/substitui quaisquer configurações criptográficas ao
/etc/ssh/sshd_configalavancar "políticas de criptografia". Veja https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/9/html/security_hardening/using-the-system-wide-cryptographic-policies_security-hardening(No caso do sshd (e outros daemons similares), a política de criptografia é efetuada pela unidade de serviço systemd anexando opções de linha de comando específicas que substituem as configurações encontradas em
/etc/ssh/sshd_config.)Suas opções para o daemon SSH no sistema RHEL 9 são:
Alterne a política criptográfica de todo o sistema para um modo compatível com versões anteriores, conforme descrito no guia de endurecimento do RHEL 9 . Como
root(ou comsudo) execute:e reinicie.
Observação: isso altera todos os daemons e configurações do sistema e é um exagero se você só precisa ajustar as configurações de ssh e sshd.
Exclua (somente) sshd da política criptográfica de todo o sistema.
Você opta por sair editando
/etc/sysconfig/sshde descomentando a linha# CRYPTO_POLICY=, (se necessário, você pode então ajustar mais/etc/ssh/sshd_confige adicionar configurações criptográficas legadas). Isso fará com que o daemon ssh procure novamente apenas em seu arquivo de configuração por configurações criptográficas.[sudo] systemctl daemon-reloadpode ser necessário e você certamente precisa reiniciar o daemon ssh com e[sudo] systemctl restart sshd