DokuWiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: best-practice_telefonie os2220-erste-schritte omniswitch-common-criteria stellar-ap-1301h-mount recommended_software_version_legacy os6860_access_guardian stellar-wireless-apple-ios-ios13-wireless-analyse ssh_fehlermeldung_aos_release_6
ssh_fehlermeldung_aos_release_6

Dies ist eine alte Version des Dokuments!

Inhaltsverzeichnis

SSH Fehlermeldungen mit macOS Sierra bzw. neueren OpenSSH Clients (u.a. aktuelle Linux Distributionen)

Beim Versuch sich auf einem OmniSwitch mit AOS Release 6 per SSH anzumelden, kann es zu verschiedenen Fehlermeldungen kommen (abhängig vom OpenSSH Client und dessen Konfiguration).

Dies hängt mit den neuen (sichereren) Standardeinstellungen der ausgelieferten OpenSSH Clients zusammen.

Es gibt verschiedene Wege diese Problematik zu beheben, die unsichere und sichere.

Unsicherer Lösungsansatz

Es ist möglich dem OpenSSH Client zu gestatten bei einigen Systemen ein als unsicher geltendes Crypto/Hash-Verfahren zu nutzen.

Fehler: No matching host key type found. Their offer: ssh-dss

Dies ist exemplarisch die Fehlermeldung wenn der OpenSSH Client „ssh-dss“ nicht zulässt. 

BennyE$ ssh admin@192.168.20.24
Unable to negotiate with 192.168.20.24 port 22: no matching host key type found. Their offer: ssh-dss

Fehler: Corrupted MAC on input

Dies ist exemplarisch die Fehlermeldung wenn der OpenSSH Client z.B. „hmac-sha1“ nicht zulässt. 

BennyE$ ssh admin@192.168.20.24
Corrupted MAC on input.
Connection to 192.168.20.24 closed by remote host.

(Unsichere) Lösung

Achtung: Einige Anleitungen im Internet empfehlen diese Änderung in der /etc/ssh_config zu machen, womit sie für alle Benutzer und Zielsysteme gilt. Ein Ansatz für einzelne Systeme (wie unten beschrieben) ist diesem vorzuziehen! 

BennyE$ vi .ssh/config 

Host 192.168.20.24
    HostKeyAlgorithms ssh-dss
    MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160

Sollten mehrere Einträge benötigt werden, dann kann dies auch so aussehen

Host 192.168.20.24
    HostKeyAlgorithms ssh-dss
    MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160

Host 192.168.20.25
    HostKeyAlgorithms ssh-dss
    MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160

Host 192.168.20.26
    HostKeyAlgorithms ssh-dss
    MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160

Für den Fall dass dies für ein gesamtes Subnetz benötigt wird, funktioniert auch eine Wildcard

Host 192.168.20.*
    HostKeyAlgorithms ssh-dss
    MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160

Sicherer Lösungsansatz

ASA Enhanced

Der sichere Lösungsansatz sieht vor dass der OmniSwitch im „ASA Enhanced“-Modus betrieben wird. Dadurch steht SSH mit RSA 2048 zur Verfügung. 

-> aaa switch-access mode enhanced

Weitere Details zu „ASA Enhanced“ sind hier nachzulesen: Wichtige Information zum "aaa switch-access mode enhanced"

ssh_fehlermeldung_aos_release_6.1481895104.txt.gz · Zuletzt geändert: 2024/06/09 10:29 (Externe Bearbeitung)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki