我一直在尝试设置 Ansible 以连接到我们的一些旧生产交换机以进行定期备份。例如,我遇到了许多人都面临过的问题这里。
我创建了一个文件,~/.ssh/config其中包含
Host 123.123.123.123 KexAlgorithms +diffie-hellman-group14-sha1
这不起作用,当我尝试连接时仍然抛出错误。
我还添加了一些/etc/ssh/ssh_config不高兴的台词。
当我尝试使用手动连接时ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 123.123.123.123收到错误消息
无法与 xxxx 端口 22 协商:未找到匹配的密钥交换方法。他们的报价:ssh-rsa
有没有人有什么建议?在尝试在范围内和临时级别设置协商服务器之后,我并没有更接近使其正常工作。
答案1
您要连接的计算机不支持任何安全算法。对于密钥交换,它似乎只支持 Diffie-Hellman 组 1,其大小为 1024 位。这提供了不足的 80 位安全级别,据信已被主要政府破坏。
对于SSH主机密钥算法,仅ssh-rsa提供使用SHA-1进行签名的RSA。众所周知,SHA-1 是不安全的,发生冲突的费用为 45,000 美元,这在任何政府和许多个人的预算中。
为了安全起见,OpenSSH 已禁用这些算法,因为不应再使用它们。您应该将这些系统升级到已安全修补的 SSH 服务器或更换它们。如果您需要访问它们,可以使用以下语法(请注意需要多行):
Host foo.example.com
KexAlgorithms +diffie-hellman-group1-sha1
HostKeyAlgorithms +ssh-rsa