Início / unix / Perguntas / 726423
Accepted
j0h
Asked: 2022-11-27 22:03:32 +0800 CST

SSH- "Não foi possível negociar... nenhum tipo de chave de host correspondente encontrado."

  • 772

Eu tenho um servidor shell em um sistema embarcado (é um sistema ARMel de 32 bits). Quando vou fazer o login, eu uso:

$ ssh root@ip 
Unable to negotiate with ip port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss

Então pensei, ok, darei a ele um dos tipos de cifra esperados com a -copção:

$ ssh -c ssh-dss root@ip 
Unknown cipher type 'ssh-dss'

ou:

$ ssh -c ssh-rsa root@ip
Unknown cipher type 'ssh-rsa'

Portanto, não tenho certeza do que fazer a seguir. Eu tenho um console serial UART para o qual posso enviar comandos, mas prefiro estar no SSH. Eu sei que está executando o serviço, mas não sei como fazer login nele.

ssh

4 respostas

  1. Eu vejo muito isso com os sistemas integrados legados da Cisco cujo firmware não pode mais ser atualizado para os padrões ssh modernos.

    Além do algoritmo de chave do host, você pode precisar usar um algoritmo de troca de chave obsoleto e/ou especificação de cifra também.

    Exemplo de Bash:

    ssh -oKexAlgorithms=+diffie-hellman-group1-sha1\
 -oHostKeyAlgorithms=+ssh-rsa\
 -oCiphers=+aes256-cbc\
 <user>@asa5505

    A boa notícia é que o OpenSSH (o que eu uso) geralmente me diz quais algoritmos ou cifras estão sendo oferecidos - caso contrário, posso ter que fazer muitas tentativas e erros.

    Se eu fizer isso, os protocolos disponíveis podem ser listados no OpenSSH com:

    ssh -Q [ciphers|hostkeyalgorithms|kexalgorithms|...]

    Atualização: Como parece haver muito interesse em fazer isso usando ssh_config (obrigado, Bob,Z,et al), fornecerei um exemplo para esse método:

    ############################################
# ~/.ssh/config
Host 'asa5505*'
        KexAlgorithms +diffie-hellman-group1-sha1
        HostKeyAlgorithms +ssh-rsa
        Ciphers +aes128-cbc

    Como esses protocolos foram obsoletos por motivos de segurança, você deve restringir o uso padrão com uma qualificação "Host" ou "Match" para que sejam usados ​​apenas nos destinos herdados que os exigem.

    Da mesma forma, você deve evitar colocar essas exceções em /etc/ssh/ssh_config ou em /etc/ssh/ssh_config.d/ , a menos que sua intenção seja fazer com que todos os usuários atuais e futuros as utilizem por padrão.

    Para todos os detalhes corajosos, consulte:

    man ssh_config
    • 18
  2. Best Answer

    Tente usar isso:

    ssh -oHostKeyAlgorithms=+ssh-rsa root@ip

    Notas:

    • 13

  3. Também depende do que você está executando em sua própria máquina. Se você estiver executando algo como Arch ou Fedora36+, que está no OpenSSL3.0, os algoritmos mais antigos foram obsoletos ou desativados. Eu tive que incluir esta configuração dentro da minha configuração ssh estando no 3.0 conectando-se a servidores mais antigos:

    HostKeyAlgorithms +ssh-rsa
PubkeyAcceptedAlgorithms +ssh-rsa
    • 2

  4. Um truque legal, que funciona a partir de agora e pode ajudar na compatibilidade com versões anteriores se os algoritmos forem removidos do OpenSSH, é usar um contêiner de uma imagem de distribuição Linux mais antiga.

    Há mais sobrecarga (embora o contêiner possa ser mantido ao custo de algumas dezenas de MB) e com possíveis riscos de segurança (possivelmente versões OpenSSH não mantidas) que podem ou não ser aceitáveis.

    Aqui está um one-liner, com suas próprias limitações:

    docker run --rm -it debian:jessie sh -c 'apt-get update && apt install -y --force-yes openssh-client && ssh the_host

    • 0

relate perguntas