net(t)forum
net(t)work(s) - fli4l - eisfair

Startseite » eisfair » spline.eisfair » Problem ssh Verbindung nach Update...
Problem ssh Verbindung nach Update... [Beitrag #63373] Mon, 02 April 2018 15:40 Zum nächsten Beitrag gehen
Matthias Prill ist gerade offline  Matthias Prill
Beiträge: 785
Registriert: July 2010
Senior Member
Hallo,

ich habe einen alten NAS, welcher per ssh ein Backup zieht.
Nach dem Update kann er keine Verbindung per public key mehr herstellen.
Komisch ist für mich in diesm Zusammenhang, daß ich von der einen Seite
eine ssh verbindung aufbauen kann, aber von der anderen Seite kein
Verbindungsaufbau möglich ist?

Hier die Fehlermeldung:

betux03-vm # ssh sys@192.168.110.4
Unable to negotiate with 192.168.110.4 port 22: no matching key exchange
method found. Their offer:
diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-he llman-group1-sha1

Hier die möglichen KEX des eisfair:

betux03-vm # ssh -Q kex
diffie-hellman-group1-sha1
diffie-hellman-group14-sha1
diffie-hellman-group14-sha256
diffie-hellman-group16-sha512
diffie-hellman-group18-sha512
diffie-hellman-group-exchange-sha1
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
curve25519-sha256
curve25519-sha256@libssh.org
betux03-vm #

Zumindest sehe ich zwei passende KEX? Warum kann denn keine Verbindung
aufgebaut werden?

Auszug aus der SSH Config:

SSH_SERVER_CIPHERS=all
SSH_SERVER_KEX=all
SSH_SERVER_MAC=all

Gruß
Matthias
Re: Problem ssh Verbindung nach Update... [Beitrag #63378 ist eine Antwort auf Beitrag #63373] Mon, 02 April 2018 16:49 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Matthias Prill ist gerade offline  Matthias Prill
Beiträge: 785
Registriert: July 2010
Senior Member
Okay, ich kann zumindest wieder beidseitig ssh Verbindungen aufbauen.
Dazu habe ich (nach dem Studium der von Marcus empfohlenen Lektüre) eine
config erstellt und dort die geforderten Einträge für KEX und MAC gemacht.
Ich bin allerdings davon ausgegangen, daß die Sache offen wie ein
Scheunentor ist, wenn ich diese parameter in der ssh-config setze:
SSH_SERVER_CIPHERS=all
SSH_SERVER_KEX=all
SSH_SERVER_MAC=all
War es aber nicht...es wurden laut debuinfo nur die defaults angeboten
und es kam keine Verbindung zustande....

Aber was nach wie vor nicht funktioniert, ist der Verbindungsaufbau via
Identfile...
Gruß
Matthias
Re: Problem ssh Verbindung nach Update... [Beitrag #63380 ist eine Antwort auf Beitrag #63373] Mon, 02 April 2018 17:07 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Marcus Roeckrath ist gerade offline  Marcus Roeckrath
Beiträge: 14014
Registriert: August 2010
Senior Member
Hallo Matthias,

Matthias Prill wrote:

> ich habe einen alten NAS, welcher per ssh ein Backup zieht.
> Nach dem Update kann er keine Verbindung per public key mehr herstellen.
> Komisch ist für mich in diesm Zusammenhang, daß ich von der einen Seite
> eine ssh verbindung aufbauen kann, aber von der anderen Seite kein
> Verbindungsaufbau möglich ist?

In welcher Richtung geht es. Kannst du per Passwort die Verbindung aufbauen?

Ich hatte schon vor dem Base-Update folgenden Artikel geschrieben:

https://web.nettworks.org/forum/index.php?t=msg&th=8817&goto=627 24&#msg_62724

Bitte diesen Thread und den angegebenen Wiki-Artikel lesen.

Bitte melden, ob du damit das Problem lösen konntest.

> SSH_SERVER_CIPHERS=all
> SSH_SERVER_KEX=all
> SSH_SERVER_MAC=all

Wenn es auch mit all (extrem unsicher) nicht geht, könnte es schwierig
werden.

--
Gruss Marcus


Gruß Marcus
Re: Problem ssh Verbindung nach Update... [Beitrag #63381 ist eine Antwort auf Beitrag #63378] Mon, 02 April 2018 17:13 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Marcus Roeckrath ist gerade offline  Marcus Roeckrath
Beiträge: 14014
Registriert: August 2010
Senior Member
Hallo Matthias,

Matthias Prill wrote:

> Okay, ich kann zumindest wieder beidseitig ssh Verbindungen aufbauen.
> Dazu habe ich (nach dem Studium der von Marcus empfohlenen Lektüre) eine
> config erstellt und dort die geforderten Einträge für KEX und MAC gemacht.
> Ich bin allerdings davon ausgegangen, daß die Sache offen wie ein
> Scheunentor ist, wenn ich diese parameter in der ssh-config setze:
> SSH_SERVER_CIPHERS=all
> SSH_SERVER_KEX=all
> SSH_SERVER_MAC=all

all ist nicht wirklich die anstrebenswerte Lösung; notfalls default und
zusätzlich einzelne notwendige Module hinzufügen.

> Aber was nach wie vor nicht funktioniert, ist der Verbindungsaufbau via
> Identfile...

Wer meldet sich bei wem an?

Was für ein Typ Schlüssel ist das?

--
Gruss Marcus


Gruß Marcus
Re: Problem ssh Verbindung nach Update... [Beitrag #63387 ist eine Antwort auf Beitrag #63380] Mon, 02 April 2018 18:44 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Matthias Prill ist gerade offline  Matthias Prill
Beiträge: 785
Registriert: July 2010
Senior Member
Okay, jetzt habe ich einige geändert und bin schon ganz zufrieden.
Danke für die gute Zusammenstellung der Informationen!

hier mal eine Zusammenfassung:

1.
Ich kann vom NAS (backup) auf alle Server per Identfile (rsa schlüssel)
ohne Password zugreifen.

2.
Die Sicherheitseinstellungen auf allen eisfair lauten:
SSH_SERVER_CIPHERS='default'
SSH_SERVER_KEXS='default,diffie-hellman-group-exchange-sha1'
SSH_SERVER_MACS='default,hmac-sha1'

3.
Ich kann von allen eisfair NICHT per ssh auf das NAS zugreifen.
Was ich seltsam finde, daß bei "kex names ok" nicht der oben
eingetragene "diffie-hellman..." nicht vorkommt?

------------------------------------------------------------------------ ---------
betux01-hw # ssh 192.168.110.4 -vvvvvv
OpenSSH_7.6p1, OpenSSL 1.0.2n-fips 7 Dec 2017
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 79: Applying options for *
debug3: kex names ok:
[curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256]
debug2: resolving "192.168.110.4" port 22
debug2: ssh_connect_direct: needpriv 0
debug1: Connecting to 192.168.110.4 [192.168.110.4] port 22.
debug1: Connection established.
debug1: permanently_set_uid: 0/0
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_rsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_rsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_dsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_dsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_ecdsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_ecdsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_ed25519 type -1
debug1: key_load_public: No such file or directory
debug1: identity file /root/.ssh/id_ed25519-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_7.6
debug1: Remote protocol version 1.99, remote software version OpenSSH_4.2
debug1: match: OpenSSH_4.2 pat OpenSSH_4* compat 0x00000000
debug2: fd 3 setting O_NONBLOCK
debug1: Authenticating to 192.168.110.4:22 as 'root'
debug3: hostkeys_foreach: reading file "/root/.ssh/known_hosts"
debug3: send packet: type 20
debug1: SSH2_MSG_KEXINIT sent
debug3: receive packet: type 20
debug1: SSH2_MSG_KEXINIT received
debug2: local client KEXINIT proposal
debug2: KEX algorithms:
curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256,ext-info-c
debug2: host key algorithms:
ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com ,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519 ,rsa-sha2-512,rsa-sha2-256,ssh-rsa
debug2: ciphers ctos:
chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
debug2: ciphers stoc:
chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
debug2: MACs ctos:
hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
debug2: MACs stoc:
hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
debug2: compression ctos: none,zlib@openssh.com,zlib
debug2: compression stoc: none,zlib@openssh.com,zlib
debug2: languages ctos:
debug2: languages stoc:
debug2: first_kex_follows 0
debug2: reserved 0
debug2: peer server KEXINIT proposal
debug2: KEX algorithms:
diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-he llman-group1-sha1
debug2: host key algorithms: ssh-rsa,ssh-dss
debug2: ciphers ctos:
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfo ur,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: ciphers stoc:
aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfo ur,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr
debug2: MACs ctos:
hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: MACs stoc:
hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: compression ctos: none,zlib@openssh.com
debug2: compression stoc: none,zlib@openssh.com
debug2: languages ctos:
debug2: languages stoc:
debug2: first_kex_follows 0
debug2: reserved 0
debug1: kex: algorithm: (no match)
Unable to negotiate with 192.168.110.4 port 22: no matching key exchange
method found. Their offer:
diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-he llman-group1-sha1
betux01-hw #
------------------------------------------------------------------------ ---------

Gruß
Matthias
Re: Problem ssh Verbindung nach Update... [Beitrag #63388 ist eine Antwort auf Beitrag #63387] Mon, 02 April 2018 19:18 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Marcus Roeckrath ist gerade offline  Marcus Roeckrath
Beiträge: 14014
Registriert: August 2010
Senior Member
Hallo Matthias,

Matthias Prill wrote:

> Okay, jetzt habe ich einige geändert und bin schon ganz zufrieden.
> Danke für die gute Zusammenstellung der Informationen!
>
> hier mal eine Zusammenfassung:
>
> 1.
> Ich kann vom NAS (backup) auf alle Server per Identfile (rsa schlüssel)
> ohne Password zugreifen.

Ok, fein.

> 2.
> Die Sicherheitseinstellungen auf allen eisfair lauten:
> SSH_SERVER_CIPHERS='default'
> SSH_SERVER_KEXS='default,diffie-hellman-group-exchange-sha1'
> SSH_SERVER_MACS='default,hmac-sha1'

Gut.

> 3.
> Ich kann von allen eisfair NICHT per ssh auf das NAS zugreifen.
> Was ich seltsam finde, daß bei "kex names ok" nicht der oben
> eingetragene "diffie-hellman..." nicht vorkommt?

Weil die obigen Einstellungen den Server und nicht den Client betreffen. Eis
ist aber nun Client, daher musst du im Home des Users, der auf die NAS
zugreifen will die Datei .ssh/config gemäß Punkt 5 in
https://web.nettworks.org/wiki/pages/viewpage.action?pageId=23330858
anpassen.

Bitte daran denken, das je nach Verbindungsrichtung die Server-Client-Rolle
wechselt.

--
Gruss Marcus


Gruß Marcus
Re: Problem ssh Verbindung nach Update... [Beitrag #63389 ist eine Antwort auf Beitrag #63388] Mon, 02 April 2018 19:37 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Matthias Prill ist gerade offline  Matthias Prill
Beiträge: 785
Registriert: July 2010
Senior Member
Am 02.04.2018 um 19:18 schrieb Marcus Roeckrath:
>> 3.
>> Ich kann von allen eisfair NICHT per ssh auf das NAS zugreifen.
>> Was ich seltsam finde, daß bei "kex names ok" nicht der oben
>> eingetragene "diffie-hellman..." nicht vorkommt?
>
> Weil die obigen Einstellungen den Server und nicht den Client betreffen. Eis
> ist aber nun Client, daher musst du im Home des Users, der auf die NAS
> zugreifen will die Datei .ssh/config gemäß Punkt 5 in
> https://web.nettworks.org/wiki/pages/viewpage.action?pageId=23330858
> anpassen.
>
Ich habe jetzt folgende config angelegt und damit klappt der Zugriff
auch von der eisfair Seite:

----------------------------------------------------
Host 192.168.110.4
MACs hmac-sha1
KexAlgorithms diffie-hellman-group-exchange-sha1
---------------------------------------------------

Muss hier zwingend ein Defaulteintrag mit "*" existieren?
Funktionieren tut es auch in der Minimalversion...

> Bitte daran denken, das je nach Verbindungsrichtung die Server-Client-Rolle
> wechselt.

Ja, jetzt wo Du mich mit der Nase drauf gestoßen hast :-)

Danke!
Gruß
Matthias
Re: Problem ssh Verbindung nach Update... [Beitrag #63392 ist eine Antwort auf Beitrag #63389] Mon, 02 April 2018 20:01 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Marcus Roeckrath ist gerade offline  Marcus Roeckrath
Beiträge: 14014
Registriert: August 2010
Senior Member
Hallo Matthias,

Matthias Prill wrote:

> Ich habe jetzt folgende config angelegt und damit klappt der Zugriff
> auch von der eisfair Seite:
>
> ----------------------------------------------------
> Host 192.168.110.4
> MACs hmac-sha1
> KexAlgorithms diffie-hellman-group-exchange-sha1
> ---------------------------------------------------
>
> Muss hier zwingend ein Defaulteintrag mit "*" existieren?
> Funktionieren tut es auch in der Minimalversion...

Wahrscheinlich nicht, ich lösche das mal im Wikiartikel raus.

--
Gruss Marcus


Gruß Marcus
Re: Problem ssh Verbindung nach Update... [Beitrag #63395 ist eine Antwort auf Beitrag #63392] Tue, 03 April 2018 06:58 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Matthias Prill ist gerade offline  Matthias Prill
Beiträge: 785
Registriert: July 2010
Senior Member
Am 02.04.2018 um 20:01 schrieb Marcus Roeckrath:
> Hallo Matthias,
>
> Matthias Prill wrote:
>
>> Ich habe jetzt folgende config angelegt und damit klappt der Zugriff
>> auch von der eisfair Seite:
>>
>> ----------------------------------------------------
>> Host 192.168.110.4
>> MACs hmac-sha1
>> KexAlgorithms diffie-hellman-group-exchange-sha1
>> ---------------------------------------------------
>>
>> Muss hier zwingend ein Defaulteintrag mit "*" existieren?
>> Funktionieren tut es auch in der Minimalversion...
>
> Wahrscheinlich nicht, ich lösche das mal im Wikiartikel raus.
>
Kannst auch noch hinzufügen, daß eine evtl. 2. IP unter der derselbe
Host erreichbar ist mit Leerzeichen getrennt hinter der ersten stehen kann.

Gruß
Matthias
Re: Problem ssh Verbindung nach Update... [Beitrag #63396 ist eine Antwort auf Beitrag #63395] Tue, 03 April 2018 08:10 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Marcus Roeckrath ist gerade offline  Marcus Roeckrath
Beiträge: 14014
Registriert: August 2010
Senior Member
Hallo Matthias,

Matthias Prill wrote:

>>> Muss hier zwingend ein Defaulteintrag mit "*" existieren?
>>> Funktionieren tut es auch in der Minimalversion...
>>
>> Wahrscheinlich nicht, ich lösche das mal im Wikiartikel raus.
>>
> Kannst auch noch hinzufügen, daß eine evtl. 2. IP unter der derselbe
> Host erreichbar ist mit Leerzeichen getrennt hinter der ersten stehen
> kann.

Ich denke, dass man hier vermutlich beliebig viele IPs oder Domainnamen
hinschreiben darf, für die diese speziellen Einstellungen gelten sollen.

--
Gruss Marcus


Gruß Marcus
Re: Problem ssh Verbindung nach Update... [Beitrag #63399 ist eine Antwort auf Beitrag #63396] Tue, 03 April 2018 13:05 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Matthias Prill ist gerade offline  Matthias Prill
Beiträge: 785
Registriert: July 2010
Senior Member
Am 03.04.2018 um 08:10 schrieb Marcus Roeckrath:
> Hallo Matthias,
>
> Matthias Prill wrote:
>
>>>> Muss hier zwingend ein Defaulteintrag mit "*" existieren?
>>>> Funktionieren tut es auch in der Minimalversion...
>>>
>>> Wahrscheinlich nicht, ich lösche das mal im Wikiartikel raus.
>>>
>> Kannst auch noch hinzufügen, daß eine evtl. 2. IP unter der derselbe
>> Host erreichbar ist mit Leerzeichen getrennt hinter der ersten stehen
>> kann.
>
> Ich denke, dass man hier vermutlich beliebig viele IPs oder Domainnamen
> hinschreiben darf, für die diese speziellen Einstellungen gelten sollen.
>
Ja, davon gehe ich auch aus...
war auch nur als Hinwies für die Doku gedacht, obwohl die Zahl
derjenigen mit "zweibeinigem" eisfair wohl überschaubar ist :-)

Gruß
Matthias
Re: Problem ssh Verbindung nach Update... [Beitrag #63404 ist eine Antwort auf Beitrag #63399] Tue, 03 April 2018 20:15 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Marcus Roeckrath ist gerade offline  Marcus Roeckrath
Beiträge: 14014
Registriert: August 2010
Senior Member
Hallo Matthias,

Matthias Prill wrote:

>> Ich denke, dass man hier vermutlich beliebig viele IPs oder Domainnamen
>> hinschreiben darf, für die diese speziellen Einstellungen gelten sollen.
>>
> Ja, davon gehe ich auch aus...

Die manpage schweigt sich darüber aus, Beispiele im Internet bestätigen das
aber.

> war auch nur als Hinwies für die Doku gedacht, obwohl die Zahl
> derjenigen mit "zweibeinigem" eisfair wohl überschaubar ist :-)

Aber vielleicht mehrere NAS gleichen Typs, die eine solche Sonderbehanndlung
erfordern.

--
Gruss Marcus


Gruß Marcus
Re: Problem ssh Verbindung nach Update... [Beitrag #63408 ist eine Antwort auf Beitrag #63404] Wed, 04 April 2018 13:30 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Ansgar Puester ist gerade offline  Ansgar Puester
Beiträge: 547
Registriert: October 2010
Senior Member
Hallo,

Am 03.04.2018 um 20:15 schrieb Marcus Roeckrath:
> Hallo Matthias,
>
> Matthias Prill wrote:
>
>>> Ich denke, dass man hier vermutlich beliebig viele IPs oder Domainnamen
>>> hinschreiben darf, für die diese speziellen Einstellungen gelten sollen.
>>>
>> Ja, davon gehe ich auch aus...
>
> Die manpage schweigt sich darüber aus, Beispiele im Internet bestätigen das
> aber.

Ich orientiere mich bei solchen Fragen immer gerne
an dem Manpages auf https://linux.die.net/

Hier z.B. https://linux.die.net/man/5/ssh_config

-- schnipp --

Host' Restricts the following declarations (up to the next Host keyword)
to be only for those hosts that match one of the patterns given after
the keyword. If more than one pattern is provided, they should be
separated by whitespace. A single '*' as a pattern can be used to
provide global defaults for all hosts. The host is the hostname argument
given on the command line (i.e. the name is not converted to a
canonicalized host name before matching).

See PATTERNS for more information on patterns.

-- schnipp --

Gruß,
Ansgar
Re: Problem ssh Verbindung nach Update... [Beitrag #63409 ist eine Antwort auf Beitrag #63408] Wed, 04 April 2018 14:05 Zum vorherigen Beitrag gehen
Marcus Roeckrath ist gerade offline  Marcus Roeckrath
Beiträge: 14014
Registriert: August 2010
Senior Member
Hallo Ansgar,

Ansgar Püster wrote:

>> Die manpage schweigt sich darüber aus, Beispiele im Internet bestätigen
>> das aber.
>
> Ich orientiere mich bei solchen Fragen immer gerne
> an dem Manpages auf https://linux.die.net/
>
> Hier z.B. https://linux.die.net/man/5/ssh_config
>
> -- schnipp --
>
> Host' Restricts the following declarations (up to the next Host keyword)
> to be only for those hosts that match one of the patterns given after
> the keyword. If more than one pattern is provided, they should be
> separated by whitespace. A single '*' as a pattern can be used to
> provide global defaults for all hosts. The host is the hostname argument
> given on the command line (i.e. the name is not converted to a
> canonicalized host name before matching).
>
> See PATTERNS for more information on patterns.

"Schweigt" war vielleicht etwas übertrieben, aber das findet man nur, wenn
man die ganze Page komplett liest, weil sie dem Parameter HOST keinen
eigenen Abschnitt

<bold>HOST</bold>
Text

widmen.

--
Gruss Marcus


Gruß Marcus
Vorheriges Thema: update local database - error
Nächstes Thema: Frage zu Backup mysql/mariadb
Gehe zum Forum:
  


aktuelle Zeit: Tue Apr 07 18:55:00 CEST 2020

Insgesamt benötigte Zeit, um die Seite zu erzeugen: 0.01874 Sekunden