darkzonesd
Goto Top

SCP - SSH Key Exchange scheitert

Moin zusammen,

ich habe Probleme mit SCP. Ich möchte von einem Switch die startup-config per SFTP kopieren über:
scp manager@10.1.40.140 cfg/startup-config .
Als Antwort von dem ProCurve 2530 bekomme ich:
Unable to negotiate with 10.1.40.140 port 22: no matching key exchange method found. Their offer: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
Soweit in Ordnung, die Exchange methode kann ich ja zusätzlich angeben.
scp -oKexAlgorithms=+diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1 manager@10.1.40.140:/cfg/startup-config .
Nun kriege ich aber die Meldung:
Unable to negotiate with 10.1.40.140 port 22: no matching host key type found. Their offer: ssh-rsa
🙄
Das Spiel kann ich solange spielen bis er als Offer sogar des, 3des-cbc gibt..

Mein OpenSSH kann diese Methoden:
diffie-hellman-group1-sha1
diffie-hellman-group14-sha1
diffie-hellman-group14-sha256
diffie-hellman-group16-sha512
diffie-hellman-group18-sha512
diffie-hellman-group-exchange-sha1
diffie-hellman-group-exchange-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
curve25519-sha256
curve25519-sha256@libssh.org
sntrup761x25519-sha512@openssh.com

Warum sich die beiden nicht einigen können ist mir ein Rätsel. Ist jemand mit dem Problem vertraut?

Grüße

Florian

Content-Key: 9266327545

Url: https://administrator.de/contentid/9266327545

Printed on: February 28, 2024 at 00:02 o'clock

Mitglied: 8030021182
Solution 8030021182 Nov 30, 2023 updated at 11:57:38 (UTC)
Goto Top
Hi.
Steht doch da 😋
Unable to negotiate with 10.1.40.140 port 22: no matching host key type found. Their offer: ssh-rsa
Diese Art Keys sind schon seit einiger Zeit deprecated und muss man erst zulassen.

/etc/ssh/ssh_config =>
HostKeyAlgorithms +ssh-rsa
PubkeyAcceptedKeyTypes +ssh-rsa
https://www.openssh.com/legacy.html

Bzw. aus Sicherheitsgründen besser nur als Ausnahme für den speziellen Host erlauben
Host 10.1.40.140
    HostKeyAlgorithms +ssh-rsa
    PubkeyAcceptedKeyTypes +ssh-rsa
oder als Option auf der Kommandozeile mitgeben
-oHostKeyAlgorithms=+ssh-rsa
Gruß Katrin
Member: aqui
Solution aqui Nov 30, 2023 at 10:52:33 (UTC)
Goto Top
Guckst du dazu auch HIER sowie auch HIER.
Member: commodity
Solution commodity Nov 30, 2023 at 11:15:25 (UTC)
Goto Top
oder auch hier: face-big-smile

Viele Grüße, commodity
Member: DarkZoneSD
DarkZoneSD Nov 30, 2023 at 11:52:54 (UTC)
Goto Top
Danke für die Antworten, mit dieser config hat es nun funktioniert:
Host 10.1.40.140
        KexAlgorithms +diffie-hellman-group1-sha1
        PubkeyAcceptedKeyTypes +ssh-rsa
        HostKeyAlgorithms +ssh-rsa
        Ciphers 3des-cbc
Leider akzeptiert er nur den Cipher 3des-cbc, was an sich sehr unbefriedigend ist.

Der Switch lässt mir kaum Spielraum zum einstellen von ssh.

Ich werde mal ein Firmware update machen und schauen ob er damit andere Algorithmen akzeptiert.
Member: aqui
aqui Nov 30, 2023 at 12:18:58 (UTC)
Goto Top
Der Switch lässt mir kaum Spielraum zum Einstellen von ssh.
Bei dem Hersteller auch nicht verwunderlich...
Mitglied: 8030021182
8030021182 Nov 30, 2023 updated at 13:00:07 (UTC)
Goto Top
Zitat von @aqui:
Bei dem Hersteller auch nicht verwunderlich...
Der Name sagt alles face-big-smile

back-to-topPro🍌

Member: commodity
commodity Nov 30, 2023 updated at 18:24:09 (UTC)
Goto Top
Bei dem Hersteller auch nicht verwunderlich...
Also bitte, ein wenig Marktwirtschaft sollte schon sein face-big-smile

Und so schlecht sollte das auch im konkreten Fall nicht sein:
https://techhub.hpe.com/eginfolib/networking/docs/switches/RA/15-18/5998 ...
Valid types are:
        aes128-cbc
        3des-cbc
        aes192-cbc
        aes256-cbc
        aes128-ctr
        aes192-ctr
        aes256-ctr
Wahrscheinlich muss der Kollege @DarkZoneSD das noch konfigurieren, wie im Link beschrieben, oder hier (nur anders herum face-wink)

Viele Grüße, commodity