SSH retorna: nenhum tipo de chave de host correspondente encontrado. Sua oferta: ssh-dss

A versão do OpenSSH incluída no 16.04 desativa o ssh-dss. Há uma página legal com informações legadas que inclui esse problema: http://www.openssh.com/legacy.html

Em poucas palavras, você deve adicionar a opção -oHostKeyAlgorithms=+ssh-dssao comando SSH:

ssh -oHostKeyAlgorithms=+ssh-dss [email protected]

Você também pode adicionar um padrão de host no seu ~/.ssh/configpara não precisar especificar o algoritmo de chave sempre:

Host nas
  HostName 192.168.8.109
  HostKeyAlgorithms=+ssh-dss

Isso tem o benefício adicional de que você não precisa digitar o endereço IP. Em vez disso, sshreconhecerá o host nase saberá onde se conectar. Claro que você pode usar qualquer outro nome em seu lugar.

Se você veio aqui porque o Bitbucket retorna o seguinte após uma atualização para o OpenSSH 8.8:

Unable to negotiate with <ip address> port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss

você NÃO deve habilitar o DSS (como na resposta aceita), mas sim o RSA em ~/.ssh/config:

Host bitbucket.org
    HostKeyAlgorithms +ssh-rsa
    PubkeyAcceptedKeyTypes +ssh-rsa

Referência: https://community.atlassian.com/t5/Bitbucket-articles/OpenSSH-8-8-client-incompatibility-and-workaround/ba-p/1826047

Observe que PubkeyAcceptedKeyTypesé um alias compatível com versões anteriores PubkeyAcceptedAlgorithmsque foi sugerido no artigo. Se você usá-lo, a mesma configuração pode ser usada com versões mais antigas do cliente OpenSSH, por exemplo, se você compartilhar a configuração com contêineres docker.

Você pode fazer o mesmo para outros hosts ou usar Host *para permitir RSA para qualquer host.

Editar o arquivo ~/.ssh/config é a melhor opção. Se você tiver vários hosts para se conectar na mesma sub-rede, poderá usar o seguinte método para evitar inserir cada host no arquivo:

 Host 192.168.8.*
  HostKeyAlgorithms=+ssh-dss

Isso funciona muito bem para mim, pois tenho vários switches Brocade para gerenciar e eles começaram a reclamar da chave Host depois que mudei para o Ubuntu 16.04.

Se você quiser usar o OpenSSH mais recente para se conectar a servidores obsoletos:

ssh -o KexAlgorithms=diffie-hellman-group14-sha1 -oHostKeyAlgorithms=+ssh-dss my.host.com

Adicione -v se quiser ver o que está acontecendo e -o HostKeyAlgorithms=ssh-dss se ainda não funcionar:

ssh -v -o HostKeyAlgorithms=ssh-dss -o KexAlgorithms=diffie-hellman-group14-sha1 my.host.com

Você também pode, é claro, editar /etc/ssh/ssh_config ou ~/.ssh/ssh_config e adicionar:

Host my.host.com *.myinsecure.net 192.168.1.* 192.168.2.*
    HostKeyAlgorithms ssh-dss
    KexAlgorithms diffie-hellman-group1-sha1    

https://forum.ctwug.za.net/t/fyi-openssh-to-access-rbs-openssh-7/6069 menciona a seguinte correção em Mikrotik Routerboards:

/ip ssh set strong-crypto=yes

(Nada disso aqui porque essa resposta também aparece em pesquisas na web ao procurar uma mensagem de erro semelhante.)

Isso funcionou:

sudo nano /etc/ssh/ssh_config

adicione à nova linha vazia:

HostKeyAlgorithms ssh-rsa,ssh-dss
PubkeyAcceptedKeyTypes ssh-rsa,ssh-dss

NÃO foi necessário recarregar/reiniciar o SSHd.

ssh -vtambém mostra detalhes adicionais, se necessário.

Para mim, isso foi adicionado ao .ssh\configtrabalhado :

Host *
HostkeyAlgorithms +ssh-dss
PubkeyAcceptedKeyTypes +ssh-dss

A execução deste one-liner no cliente funcionou para solucionar o problema:

echo -e "Host *\nHostKeyAlgorithms +ssh-rsa\nPubkeyAcceptedKeyTypes +ssh-rsa\n"|sudo tee -a ~/.ssh/config