Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- ssh_fehlermeldung_aos_release_6 [2016/12/16 13:30] – angelegt benny
+++ ssh_fehlermeldung_aos_release_6 [2024/06/09 10:29] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 1: / Zeile 1: @@
-====== SSH Fehlermeldungen mit macOS Sierra bzw. neueren OpenSSH Clients (u.a. aktuelle Linux Distributionen) ======
+====== Fehlermeldungen mit macOS Sierra bzw. neueren OpenSSH Clients (u.a. aktuelle Linux Distributionen) ======
-Beim Versuch sich auf einem OmniSwitch mit AOS Release 6 per SSH anzumelden, kann es zu verschiedenen Fehlermeldungen kommen (abhängig vom OpenSSH Client und dessen Konfiguration).
-Dies hängt mit den neuen (sichereren) Standardeinstellungen der ausgelieferten OpenSSH Clients zusammen.
+<WRAP center round tip 60%>
+Dieser Artikel gilt nur für AOS Release 6 (z.B. 6.4.6.R01 und 6.7.1.R0x). AOS Release 7/8 basieren auf Linux und zeigen die hier beschriebenen Fehlerbilder nicht.
+</WRAP>
-Es gibt verschiedene Wege diese Problematik zu beheben, die unsichere und sichere.
+====== Secure Shell (SSH) ======
-===== Unsicherer Lösungsansatz =====
+Beim Versuch sich auf einem OmniSwitch mit AOS Release 6 per SSH anzumelden, kann es zu verschiedenen Fehlermeldungen kommen (abhängig vom Versionsstand des OpenSSH Clients und dessen Konfiguration).
-Es ist möglich dem OpenSSH Client zu gestatten bei einigen Systemen ein als unsicher geltendes Crypto/Hash-Verfahren zu nutzen.
+Dies hängt mit den neuen (sichereren) Standardeinstellungen der ausgelieferten OpenSSH Clients zusammen (u.a. sind "ssh-dss", "hmac-md5" und "hmac-sha1" deaktiviert.).
-==== Fehler: No matching host key type found. Their offer: ssh-dss ====
+Es gibt verschiedene Wege diese Problematik zu beheben: Workaround oder nachhaltige Lösung (ASA Enhanced)!
+===== Fehler: "No matching host key type found. Their offer: ssh-dss" =====
+Dies ist exemplarisch die Fehlermeldung, falls der OpenSSH Client "ssh-dss" nicht zulässt.
+Der OmniSwitch verwendet standardmäßig einen DSA 1024 Host-Key.
+<WRAP center round tip 60%>
+Ab AOS 6.7.2.R01 verwendet der OmniSwitch standardmäßig einen ssh-rsa Key und die hier beschriebene Herausforderung tritt nicht mehr auf.
+</WRAP>
-Dies ist exemplarisch die Fehlermeldung wenn der OpenSSH Client "ssh-dss" nicht zulässt.
 <code>
@@ Zeile 19: / Zeile 28: @@
 </code>
-==== Fehler: Corrupted MAC on input ====
+==== Workaround: "ssh-dss" selektiv erlauben ====
-Dies ist exemplarisch die Fehlermeldung wenn der OpenSSH Client z.B. "hmac-sha1" nicht zulässt.
+<WRAP center round important 60%>
+**Achtung:** Einige Anleitungen im Internet empfehlen diese Änderung in der ''/etc/ssh_config'' unter ''host *'' vorzunehmen, wodurch sie für **alle** Benutzer des Systems und Zielsysteme gilt. Ein granularer Ansatz für einzelne Komponenten/Switches (wie hier beschrieben) ist dem globalgalaktischen Ansatz vorzuziehen!
+</WRAP>
+<code>
+BennyE$ cat .ssh/config
+Host 192.168.20.24
+    HostKeyAlgorithms ssh-dss
+    # hmac-sha2-256 sicherstes Verfahren
+    MACs hmac-sha2-256,hmac-sha1,hmac-md5,hmac-sha1-96,hmac-md5-96
+</code>
+==== Nachhaltige Lösung: ASA Enhanced ====
+<WRAP center round tip 60%>
+In den meisten Fällen ist es besser AOS >= 6.7.2.R01 einzusetzen um die Fehlermeldung bzgl. ssh-dss zu beheben. Der ASA-Enhanced Modus empfiehlt sich nur für sehr sicherheitskritische Bereiche.
+</WRAP>
+Der nachhaltige Lösungsansatz sieht vor, dass der OmniSwitch im "ASA Enhanced"-Modus betrieben wird. Dadurch steht SSH mit RSA 2048 Host-Key zur Verfügung.
+<code>
+-> aaa switch-access mode enhanced
+</code>
+Weitere Details zu "ASA Enhanced" sind hier nachzulesen: [[aaa_switch-access_mode_enhanced|Wichtige Information zum "aaa switch-access mode enhanced"]]
+Für den Fall dass es beim Verbindungsversuch die ''Corrupted MAC on input.''-Fehlermeldung gibt, dann sorgt folgender Eintrag in der ''~/.ssh/config'' für eine sichere SSH-Verbindung. (Der Fehler kommt vom umac-64@openssh.com MAC der in VxWorks offensichtlich Probleme macht!)
+<code>
+BennyE$ cat .ssh/config
+Host 192.168.20.24
+    # In diesem Fall ist es wichtig ssh-dss NICHT zu setzen, wir wollen ja die RSA 2048 Verbindung!
+    #HostKeyAlgorithms ssh-dss
+    MACs hmac-sha2-256,hmac-sha1,hmac-md5,hmac-sha1-96,hmac-md5-96
+</code>
+===== Fehler: "Corrupted MAC on input." =====
+<WRAP center round tip 60%>
+Auch das hier beschriebene Thema ist mit dem Einsatz von AOS >= 6.7.2.R01 behoben.
+</WRAP>
+Dies ist exemplarisch die Fehlermeldung, falls der OpenSSH Client z.B. "hmac-md5" oder "hmac-sha1" nicht zulässt und deshalb "umac-64@openssh.com" als MAC verwendet (was offensichtlich unter VxWorks nicht ordentlich funktioniert).
 <code>
@@ Zeile 29: / Zeile 82: @@
 </code>
-=== (Unsichere) Lösung ===
+==== Lösung: Sichere MACs verwenden/aktivieren ====
-<WRAP center round important 60%>
-**Achtung:** Einige Anleitungen im Internet empfehlen diese Änderung in der /etc/ssh_config zu machen, womit sie für **alle** Benutzer und Zielsysteme gilt. Ein Ansatz für einzelne Systeme (wie unten beschrieben) ist diesem vorzuziehen!
-</WRAP>
 <code>
-BennyE$ vi .ssh/config
+BennyE$ cat .ssh/config
 Host 192.168.20.24
-    HostKeyAlgorithms ssh-dss
+    # Folgende Zeile nur auskommentieren wenn OmniSwitch im ASA Default Modus laeuft!
-    MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
+    #HostKeyAlgorithms ssh-dss
+    MACs hmac-sha2-256,hmac-sha1,hmac-md5,hmac-sha1-96,hmac-md5-96
 </code>
-=== Sollten mehrere Einträge benötigt werden, dann kann dies auch so aussehen ===
+===== Weitere Beispielkonfigurationen =====
+==== Beispiel für Bash-Alias ====
+Mit diesem Bash-Alias kann für einen lokalen Workaround für Einzelsysteme gesorgt werden.
+Der Verbindungsaufbau erfolgt dann mit Erlaubnis für hmac-sha1 und ssh-dss.
 <code>
+$ alias ssh-switch='ssh -m hmac-sha1 -oHostKeyAlgorithms=+ssh-dss'
+</code>
+==== Beispiel für mehrere einzelne Einträge ====
+<code>
+BennyE$ cat .ssh/config
 Host 192.168.20.24
-    HostKeyAlgorithms ssh-dss
+    # Folgende Zeile nur auskommentieren wenn OmniSwitch im ASA Default Modus laeuft!
-    MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
+    #HostKeyAlgorithms ssh-dss
+    MACs hmac-sha2-256,hmac-sha1,hmac-md5,hmac-sha1-96,hmac-md5-96
 Host 192.168.20.25
-    HostKeyAlgorithms ssh-dss
+    # Folgende Zeile nur auskommentieren wenn OmniSwitch im ASA Default Modus laeuft!
-    MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
+    #HostKeyAlgorithms ssh-dss
+    MACs hmac-sha2-256,hmac-sha1,hmac-md5,hmac-sha1-96,hmac-md5-96
 Host 192.168.20.26
-    HostKeyAlgorithms ssh-dss
+    # Folgende Zeile nur auskommentieren wenn OmniSwitch im ASA Default Modus laeuft!
-    MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
+    #HostKeyAlgorithms ssh-dss
+    MACs hmac-sha2-256,hmac-sha1,hmac-md5,hmac-sha1-96,hmac-md5-96
 </code>
-=== Für den Fall dass dies für ein gesamtes Subnetz benötigt wird, funktioniert auch eine Wildcard ===
+==== Beispiel für ein komplettes Subnetz ====
 <code>
+BennyE$ cat .ssh/config
 Host 192.168.20.*
-    HostKeyAlgorithms ssh-dss
+    # Folgende Zeile nur auskommentieren wenn OmniSwitch im ASA Default Modus laeuft!
-    MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
+    #HostKeyAlgorithms ssh-dss
+    MACs hmac-sha2-256,hmac-sha1,hmac-md5,hmac-sha1-96,hmac-md5-96
 </code>
-===== Sicherer Lösungsansatz =====
+====== Secure Copy (SCP) ======
-Der sichere Lösungsansatz sieht vor dass der OmniSwitch im "ASA Enhanced"-Modus betrieben wird. Dadurch steht SSH mit RSA 2048 zur Verfügung.
+===== Fehler: "exec request failed on channel 0" =====
+Zwischen macOS (Sierra) und einem ALE OmniSwitch mit AOS Release 6 kommt bei Verwendung von SCP zu folgender Fehlermeldung. Dies gilt auch für Windows mit z.B. WinSCP, allerdings schlägt hier der Verbindungsaufbau nach einiger Zeit ohne weitere Fehlermeldung fehl.
 <code>
--> aaa switch-access mode enhanced
+BennyE$ scp -v admin@192.168.20.24:/flash/switch/snmp.engine .
+admin's password for keyboard-interactive method:
+exec request failed on channel 0
+</code>
+==== Workaround: Verwendung von sftp ====
+Oft wird behauptet mit sftp könnte man die Datei nicht direkt herunterladen, was nicht korrekt ist. Folgendes Kommando führt analog den gleichen Befehl aus.
+<code>
+BennyE$ sftp admin@192.168.20.24:/flash/switch/snmp.engine .
+admin's password for keyboard-interactive method:
+Connected to 192.168.20.24.
+Fetching /flash/switch/snmp.engine to ./snmp.engine
+/flash/switch/snmp.engine                                                                                    100%   20     0.0KB/s   00:00
+Received disconnect from 192.168.20.24 port 22:2: ssh connection closed by server
+Disconnected from 192.168.20.24 port 22
+BennyE$
+BennyE$ hexdump -C snmp.engine
+00000000  00 00 00 1a 00 0b 80 00  19 56 03 e8 e7 32 90 62  |.........V...2.b|
+00000010  23 60 79 74                                       |#`yt|
+00000014
+</code>
+==== SFTP: Eine Datei hochladen ====
+Soll von lokal eine Datei auf dem OmniSwitch hochgeladen werden, dann kann dies wie folgt erledigt werden.
+<code>
+BennyE$ sftp admin@192.168.10.2:/flash/switch/ <<< $'put testdatei.txt'
+admin's password for keyboard-interactive method:
+Connected to 192.168.10.2.
+Changing to: /flash/switch/
+sftp> put testdatei.txt
+Uploading testdatei.txt to /flash/switch/testdatei.txt
+testdatei.txt                               100%  178KB  67.1KB/s   00:02
+Received disconnect from 192.168.10.2 port 22:2: ssh connection closed by server
+Disconnected from 192.168.10.2 port 22
 </code>
-Weitere Details zu "ASA Enhanced" sind hier nachzulesen: [[aaa_switch-access_mode_enhanced|Wichtige Information zum "aaa switch-access mode enhanced"]]