Comment activer l'échange de clé diffie-hellman-group1-sha1 sur Debian 8.0?

Je ne parviens pas à ssh sur un serveur qui demande une diffie-hellman-group1-sha1méthode d'échange de clé:

ssh 123.123.123.123
Unable to negotiate with 123.123.123.123 port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1

Comment activer la diffie-hellman-group1-sha1méthode d'échange de clés sur Debian 8.0?

J'ai essayé (comme proposé ici ) de

ajouter les lignes suivantes à mon /etc/ssh/ssh_config

KexAlgorithms diffie-hellman-group1-sha1,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr

régénérer les clés avec
```
ssh-keygen -A
```
redémarrer ssh avec
```
service ssh restart
```
mais toujours avoir l'erreur.

— j1088099.mvrht.com.
source

La même chose m'est arrivé avec Debian 9.

— Rui F Ribeiro Le

Essayez cette diffie-hellman-group-exchange-sha256

— Miguel

Réponses:

Le site Web OpenSSH comporte une page consacrée aux problèmes hérités tels que celui-ci. Il suggère l'approche suivante sur le client :

ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 123.123.123.123

ou plus en permanence, en ajoutant

Host 123.123.123.123
    KexAlgorithms +diffie-hellman-group1-sha1

à ~/.ssh/config.

Cela activera les anciens algorithmes sur le client , lui permettant de se connecter au serveur.

— Stephen Kitt
source

J'ai également rencontré ce problème aujourd'hui, mais cela était dû au réseau. J'ai changé le réseau et la question avait disparu

— Luv33preet

Essayé ci-dessus, mais j'ai

Unable to negotiate with 192.168.1.123 port 22222: no matching cipher found. Their offer: aes128-cbc,3des-cbc,aes256-cbc,twofish256-cbc,twofish-cbc,twofish128-cbc,blowfish-cbc

— typelogic

@ ifelsemonkey c'est un problème différent, notez que l'offre que vous obtenez n'est pas la même que celle de la question.

— Stephen Kitt

Confirmé que c'était un problème différent. J'ai pu résoudre le problème en ajoutant l'entrée suivante dans mon ~/.ssh/configdossier. Host 192.168.1.123et en dessous Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc.

— Typelogic

J'ai essayé cette solution, mais mon problème était que de nombreux clients (hérités) se connectaient à mon serveur récemment mis à niveau (ubuntu 14 -> ubuntu 16).

La modification de openssh6 -> openssh7 a désactivé par défaut la diffie-hellman-group1-sha1méthode d’échange de clés.

Après avoir lu ceci et cela, je suis arrivé avec les modifications que je devais faire au /etc/ssh/sshd_configfichier:

#Legacy changes
KexAlgorithms +diffie-hellman-group1-sha1
Ciphers +aes128-cbc

Mais un ensemble de changements hérité plus large est (pris d' ici )

#Legacy changes
KexAlgorithms diffie-hellman-group1-sha1,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
Ciphers 3des-cbc,blowfish-cbc,aes128-cbc,aes128-ctr,aes256-ctr

— une tige
source

Espérons que vous pourrez mettre à niveau vos clients à un moment donné, les algorithmes existants ont été désactivés pour de très bonnes raisons et ne doivent pas être réactivés à la légère (vous vous en rendez probablement compte, je pensais que ça valait la peine de le signaler aux autres lecteurs).

— Stephen Kitt

Cela fonctionne du côté du serveur (contrairement à la réponse très similaire et acceptée qui était axée sur le côté client.)

— knb

J'essaie d'utiliser la même chose pour activer les anciennes clés. mais depuis que je suis un débutant, je ne sais pas vraiment quelle adresse IP placer quand j'écris ssh -oKexAlgorithms = + diffie-hellman-group1-sha1 123.123.123.123

— Yousi

À ajouter aux futurs utilisateurs, je me connectais via SSH à partir d’un Mac sous OpenSSH_7.9p1 à un commutateur Cisco 3750 sous: logiciel Cisco IOS, logiciel C3750 (C3750-IPSERVICESK9-M), version 12.2 (55) SE12, LOGICIEL À DISTANCE (FC2). J'ai ajouté ce qui suit à la configuration du client et j'ai pu entrer dans ssh: KexAlgorithms + diffie-hellman-group1-sha1 Ciphers + aes128-

— cbc