谁能指出我的 802.11n 范围扩展器？

Question

Mikey T.K.

Asked: 2017-02-07 09:07:59 +0800 CST2017-02-07 09:07:59 +0800 CST 2017-02-07 09:07:59 +0800 CST

内部网络上的旧版 SSH 客户端

我的内部网络上有几个遗留的 SSH 客户端（想想 2000 年代的 Macintoshes 等），它们与现代 SSH 实现中使用的新密码和密钥算法完全不兼容。

让这些客户端工作需要添加diffie-hellman-group1-sha1到KexAlgorithms和arcfourto Ciphers。

我知道从加密的角度来看，这两者都被严重破坏了。不幸的是，有问题的主机也有来自互联网的入站访问，如果我可以避免的话，我真的，真的不想启用这些垃圾密码，但这是让我的客户重新上线的最快方法。

我有几个关于如何收紧这个设置的问题：

sshd 是否有办法指定某些地址可以使用某些密码？
- 关于2011 年的这个问题： sshd在过去 5 年中是否学会了如何使用KexAlgorithms和Ciphers在块内使用？Match
有没有办法在需要弱加密的客户端前面放置一个堡垒/跳转服务器，然后将该连接转发到具有更强加密的主机？
我是否错过了解决此问题的其他明显方法？

Jakuje · Answer 1 · 2017-02-07T10:28:35+08:00

Best Answer

Jakuje

sshd 是否有办法指定某些地址可以使用某些密码？

是的。简单的示例在OpenSSH 的 Legacy 页面上。简而言之：

Host legacy.example.org
    KexAlgorithms +diffie-hellman-group1-sha1
    Ciphers +arcfour

有没有办法在需要弱加密的客户端前面放置一个堡垒/跳转服务器，然后将该连接转发到具有更强加密的主机？

是的。您可以将旧版服务器设置为仅接受来自 jumpbox 服务器的连接，例如使用/etc/hosts.allow( tcp_wrappers)。例如：

sshd: <IP/hostname of bastion>

然后用户将配置ProxyCommand跳过jumpbox，例如

Host legacy.example.com
  ProxyCommand ssh -W %h:%p proxy.example.com