colinardo
Goto Top

Mikrotik SSH Public Key Authentifizierung mit neueren OpenSSH Versionen 8.2+ (fix in RouterOS 7.4Beta2 erhältlich)

back-to-top#edit 07.06.2022 18:09#
Kaum hat man den Beitrag geschrieben hat Mikrotik schon reagiert, wow face-smile!
RouterOS version 7.4beta2 has been released the "v7 testing" channel!

What's new in 7.4beta2 (2022-Jun-07 12:08)
*) ssh - disable ssh-rsa when strong-crypto=yes and use rsa-sha2-sha256;

Test verlief erfolgreich! Danke Mikrotik!


Servus liebe Mitstreiter.
Es ist zwar schon eine weile her da die OpenSSH Version 8.2 erschienen ist, aber seit dem gibt es ja immer wieder mal Gerätschaften bei denen die neuen OpenSSH Versionen etwas Anpassung an den Algorithmen erfordert wenn man auf solche Geräte zugreift da ssh-rsa dort ja per Default deaktiviert ist. Wollte auf diesem Weg hier nochmal daran erinnern falls jemand auch darüber stolpert. Hatte das zwar schon im Hinterkopf, aber manchmal ist man so betriebsblind das man es einfach übersieht.

Mikrotik zählt hier zur Zeit auch noch zu diesen Gerätschaften. Man supported hier zwar mittlerweile auch rsa-ssh2 Hostkeys, jedoch ist man bei der Public-Key Authentifizierung noch nicht so weit und man ist hier auf ssh-rsa beschränkt, DSA wurde in Version 7 bereits abgeschaltet was auch gut ist, jedoch fehlen leider auch noch die elliptic curve Verfahren wie ed25519 & Co. Diesbezüglich ist man hier also sehr eingeschränkt was die Algorithmen betrifft. Ist zwar nicht so tragisch da man die SSH-Ports ja meist eh nur intern zugänglich macht, aber nicht schön.

Das ganze wurde auch im Mikrotik Forum schon angemerkt.
OpenSSH future RSA host key deprecation

Nun, für alle die auch mal darüber stolpern sollten und sich die Haare raufen warum die Public Key Auth von einer modernen Linux Distro aus auf einen Mikrotik mit der Meldung
sign_and_send_pubkey: no mutual signature supported
abgewiesen wird, sei das Aktivieren von ssh-rsa für die Verbindung empfohlen. Entweder über die Konfigurationsdateien unter /etc/ssh/ssh_config oder ~/.ssh/config mit dem Eintrag
PubkeyAcceptedKeyTypes +ssh-rsa
oder direkt als Option auf der Kommandozeile
ssh -i /path/to/my.key -o 'PubkeyAcceptedKeyTypes=ssh-rsa' admin@mikrotik.host  

Gruß @colinardo
(dessen letztes Haar sich gerade in die ewigen Jagdgründe verabschiedet hatface-smile)

Content-Key: 3007976073

Url: https://administrator.de/contentid/3007976073

Ausgedruckt am: 19.03.2024 um 04:03 Uhr