Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- ssh_fehlermeldung_aos_release_6 [2016/12/16 17:43] – benny
+++ ssh_fehlermeldung_aos_release_6 [2024/06/09 10:29] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 1: / Zeile 1: @@
 ====== Fehlermeldungen mit macOS Sierra bzw. neueren OpenSSH Clients (u.a. aktuelle Linux Distributionen) ======
-====== SSH ======
+<WRAP center round tip 60%>
+Dieser Artikel gilt nur für AOS Release 6 (z.B. 6.4.6.R01 und 6.7.1.R0x). AOS Release 7/8 basieren auf Linux und zeigen die hier beschriebenen Fehlerbilder nicht.
+</WRAP>
-Beim Versuch sich auf einem OmniSwitch mit AOS Release 6 per SSH anzumelden, kann es zu verschiedenen Fehlermeldungen kommen (abhängig vom OpenSSH Client und dessen Konfiguration).
+====== Secure Shell (SSH) ======
-Dies hängt mit den neuen (sichereren) Standardeinstellungen der ausgelieferten OpenSSH Clients zusammen.
+Beim Versuch sich auf einem OmniSwitch mit AOS Release 6 per SSH anzumelden, kann es zu verschiedenen Fehlermeldungen kommen (abhängig vom Versionsstand des OpenSSH Clients und dessen Konfiguration).
-Es gibt verschiedene Wege diese Problematik zu beheben, die unsichere und sichere.
+Dies hängt mit den neuen (sichereren) Standardeinstellungen der ausgelieferten OpenSSH Clients zusammen (u.a. sind "ssh-dss", "hmac-md5" und "hmac-sha1" deaktiviert.).
-===== Unsicherer Lösungsansatz =====
+Es gibt verschiedene Wege diese Problematik zu beheben: Workaround oder nachhaltige Lösung (ASA Enhanced)!
-Es ist möglich dem OpenSSH Client zu gestatten bei einigen Systemen ein als unsicher geltendes Crypto/Hash-Verfahren zu nutzen.
+===== Fehler: "No matching host key type found. Their offer: ssh-dss" =====
-==== Fehler: No matching host key type found. Their offer: ssh-dss ====
+Dies ist exemplarisch die Fehlermeldung, falls der OpenSSH Client "ssh-dss" nicht zulässt.
+Der OmniSwitch verwendet standardmäßig einen DSA 1024 Host-Key.
+<WRAP center round tip 60%>
+Ab AOS 6.7.2.R01 verwendet der OmniSwitch standardmäßig einen ssh-rsa Key und die hier beschriebene Herausforderung tritt nicht mehr auf.
+</WRAP>
-Dies ist exemplarisch die Fehlermeldung wenn der OpenSSH Client "ssh-dss" nicht zulässt.
 <code>
@@ Zeile 22: / Zeile 28: @@
 </code>
-==== Fehler: Corrupted MAC on input ====
+==== Workaround: "ssh-dss" selektiv erlauben ====
-Dies ist exemplarisch die Fehlermeldung wenn der OpenSSH Client z.B. "hmac-sha1" nicht zulässt.
+<WRAP center round important 60%>
+**Achtung:** Einige Anleitungen im Internet empfehlen diese Änderung in der ''/etc/ssh_config'' unter ''host *'' vorzunehmen, wodurch sie für **alle** Benutzer des Systems und Zielsysteme gilt. Ein granularer Ansatz für einzelne Komponenten/Switches (wie hier beschrieben) ist dem globalgalaktischen Ansatz vorzuziehen!
+</WRAP>
 <code>
-BennyE$ ssh admin@192.168.20.24
+BennyE$ cat .ssh/config
-Corrupted MAC on input.
-Connection to 192.168.20.24 closed by remote host.
+Host 192.168.20.24
+    HostKeyAlgorithms ssh-dss
+    # hmac-sha2-256 sicherstes Verfahren
+    MACs hmac-sha2-256,hmac-sha1,hmac-md5,hmac-sha1-96,hmac-md5-96
 </code>
-=== (Unsichere) Lösung ===
+==== Nachhaltige Lösung: ASA Enhanced ====
-<WRAP center round important 60%>
+<WRAP center round tip 60%>
-**Achtung:** Einige Anleitungen im Internet empfehlen diese Änderung in der ''/etc/ssh_config'' zu machen, womit sie für **alle** Benutzer und Zielsysteme gilt. Ein Ansatz für einzelne Systeme (wie unten beschrieben) ist diesem vorzuziehen!
+In den meisten Fällen ist es besser AOS >= 6.7.2.R01 einzusetzen um die Fehlermeldung bzgl. ssh-dss zu beheben. Der ASA-Enhanced Modus empfiehlt sich nur für sehr sicherheitskritische Bereiche.
 </WRAP>
+Der nachhaltige Lösungsansatz sieht vor, dass der OmniSwitch im "ASA Enhanced"-Modus betrieben wird. Dadurch steht SSH mit RSA 2048 Host-Key zur Verfügung.
 <code>
-BennyE$ vi .ssh/config
+-> aaa switch-access mode enhanced
-Host 192.168.20.24
-    HostKeyAlgorithms ssh-dss
-    MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
 </code>
-=== Sollten mehrere Einträge benötigt werden, dann kann dies auch so aussehen ===
+Weitere Details zu "ASA Enhanced" sind hier nachzulesen: [[aaa_switch-access_mode_enhanced|Wichtige Information zum "aaa switch-access mode enhanced"]]
+Für den Fall dass es beim Verbindungsversuch die ''Corrupted MAC on input.''-Fehlermeldung gibt, dann sorgt folgender Eintrag in der ''~/.ssh/config'' für eine sichere SSH-Verbindung. (Der Fehler kommt vom umac-64@openssh.com MAC der in VxWorks offensichtlich Probleme macht!)
 <code>
+BennyE$ cat .ssh/config
 Host 192.168.20.24
-    HostKeyAlgorithms ssh-dss
+    # In diesem Fall ist es wichtig ssh-dss NICHT zu setzen, wir wollen ja die RSA 2048 Verbindung!
-    MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
+    #HostKeyAlgorithms ssh-dss
+    MACs hmac-sha2-256,hmac-sha1,hmac-md5,hmac-sha1-96,hmac-md5-96
+</code>
-Host 192.168.20.25
+===== Fehler: "Corrupted MAC on input." =====
-    HostKeyAlgorithms ssh-dss
-    MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
-Host 192.168.20.26
+<WRAP center round tip 60%>
-    HostKeyAlgorithms ssh-dss
+Auch das hier beschriebene Thema ist mit dem Einsatz von AOS >= 6.7.2.R01 behoben.
-    MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
+</WRAP>
+Dies ist exemplarisch die Fehlermeldung, falls der OpenSSH Client z.B. "hmac-md5" oder "hmac-sha1" nicht zulässt und deshalb "umac-64@openssh.com" als MAC verwendet (was offensichtlich unter VxWorks nicht ordentlich funktioniert).
+<code>
+BennyE$ ssh admin@192.168.20.24
+Corrupted MAC on input.
+Connection to 192.168.20.24 closed by remote host.
 </code>
-=== Für den Fall dass dies für ein gesamtes Subnetz benötigt wird, funktioniert auch eine Wildcard ===
+==== Lösung: Sichere MACs verwenden/aktivieren ====
 <code>
-Host 192.168.20.*
+BennyE$ cat .ssh/config
-    HostKeyAlgorithms ssh-dss
-    MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
+Host 192.168.20.24
+    # Folgende Zeile nur auskommentieren wenn OmniSwitch im ASA Default Modus laeuft!
+    #HostKeyAlgorithms ssh-dss
+    MACs hmac-sha2-256,hmac-sha1,hmac-md5,hmac-sha1-96,hmac-md5-96
 </code>
-===== Sicherer Lösungsansatz =====
+===== Weitere Beispielkonfigurationen =====
-==== ASA Enhanced ====
+==== Beispiel für Bash-Alias ====
-Der sichere Lösungsansatz sieht vor dass der OmniSwitch im "ASA Enhanced"-Modus betrieben wird. Dadurch steht SSH mit RSA 2048 zur Verfügung.
+Mit diesem Bash-Alias kann für einen lokalen Workaround für Einzelsysteme gesorgt werden.
+Der Verbindungsaufbau erfolgt dann mit Erlaubnis für hmac-sha1 und ssh-dss.
 <code>
--> aaa switch-access mode enhanced
+$ alias ssh-switch='ssh -m hmac-sha1 -oHostKeyAlgorithms=+ssh-dss'
 </code>
-Weitere Details zu "ASA Enhanced" sind hier nachzulesen: [[aaa_switch-access_mode_enhanced|Wichtige Information zum "aaa switch-access mode enhanced"]]
+==== Beispiel für mehrere einzelne Einträge ====
+<code>
+BennyE$ cat .ssh/config
+Host 192.168.20.24
+    # Folgende Zeile nur auskommentieren wenn OmniSwitch im ASA Default Modus laeuft!
+    #HostKeyAlgorithms ssh-dss
+    MACs hmac-sha2-256,hmac-sha1,hmac-md5,hmac-sha1-96,hmac-md5-96
+Host 192.168.20.25
+    # Folgende Zeile nur auskommentieren wenn OmniSwitch im ASA Default Modus laeuft!
+    #HostKeyAlgorithms ssh-dss
+    MACs hmac-sha2-256,hmac-sha1,hmac-md5,hmac-sha1-96,hmac-md5-96
+Host 192.168.20.26
+    # Folgende Zeile nur auskommentieren wenn OmniSwitch im ASA Default Modus laeuft!
+    #HostKeyAlgorithms ssh-dss
+    MACs hmac-sha2-256,hmac-sha1,hmac-md5,hmac-sha1-96,hmac-md5-96
+</code>
+==== Beispiel für ein komplettes Subnetz ====
+<code>
+BennyE$ cat .ssh/config
+Host 192.168.20.*
+    # Folgende Zeile nur auskommentieren wenn OmniSwitch im ASA Default Modus laeuft!
+    #HostKeyAlgorithms ssh-dss
+    MACs hmac-sha2-256,hmac-sha1,hmac-md5,hmac-sha1-96,hmac-md5-96
+</code>
 ====== Secure Copy (SCP) ======
-===== Fehler: exec request failed on channel 0 =====
+===== Fehler: "exec request failed on channel 0" =====
-Zwischen macOS (Sierra) und einem ALE OmniSwitch mit AOS Release 6 kommt bei Verwendung von SCP zu folgender Fehlermeldung
+Zwischen macOS (Sierra) und einem ALE OmniSwitch mit AOS Release 6 kommt bei Verwendung von SCP zu folgender Fehlermeldung. Dies gilt auch für Windows mit z.B. WinSCP, allerdings schlägt hier der Verbindungsaufbau nach einiger Zeit ohne weitere Fehlermeldung fehl.
 <code>
@@ Zeile 94: / Zeile 148: @@
 </code>
-==== Lösung: Verwendung von sftp ====
+==== Workaround: Verwendung von sftp ====
-Oft wird behauptet mit sftp könnte man die Datei nicht direkt herunterladen, was nicht korrekt ist. Dieses Kommando führt analog den gleichen Befehl aus.
+Oft wird behauptet mit sftp könnte man die Datei nicht direkt herunterladen, was nicht korrekt ist. Folgendes Kommando führt analog den gleichen Befehl aus.
 <code>
@@ Zeile 113: / Zeile 167: @@
 00000014
 </code>
+==== SFTP: Eine Datei hochladen ====
+Soll von lokal eine Datei auf dem OmniSwitch hochgeladen werden, dann kann dies wie folgt erledigt werden.
+<code>
+BennyE$ sftp admin@192.168.10.2:/flash/switch/ <<< $'put testdatei.txt'
+admin's password for keyboard-interactive method:
+Connected to 192.168.10.2.
+Changing to: /flash/switch/
+sftp> put testdatei.txt
+Uploading testdatei.txt to /flash/switch/testdatei.txt
+testdatei.txt                               100%  178KB  67.1KB/s   00:02
+Received disconnect from 192.168.10.2 port 22:2: ssh connection closed by server
+Disconnected from 192.168.10.2 port 22
+</code>