Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
Fehlermeldungen mit macOS Sierra bzw. neueren OpenSSH Clients (u.a. aktuelle Linux Distributionen)
SSH
Beim Versuch sich auf einem OmniSwitch mit AOS Release 6 per SSH anzumelden, kann es zu verschiedenen Fehlermeldungen kommen (abhängig vom OpenSSH Client und dessen Konfiguration).
Dies hängt mit den neuen (sichereren) Standardeinstellungen der ausgelieferten OpenSSH Clients zusammen.
Es gibt verschiedene Wege diese Problematik zu beheben, die unsichere und sichere.
Unsicherer Lösungsansatz
Es ist möglich dem OpenSSH Client zu gestatten bei einigen Systemen ein als unsicher geltendes Crypto/Hash-Verfahren zu nutzen.
Fehler: No matching host key type found. Their offer: ssh-dss
Dies ist exemplarisch die Fehlermeldung wenn der OpenSSH Client „ssh-dss“ nicht zulässt.
BennyE$ ssh admin@192.168.20.24 Unable to negotiate with 192.168.20.24 port 22: no matching host key type found. Their offer: ssh-dss
Fehler: Corrupted MAC on input
Dies ist exemplarisch die Fehlermeldung wenn der OpenSSH Client z.B. „hmac-sha1“ nicht zulässt.
BennyE$ ssh admin@192.168.20.24 Corrupted MAC on input. Connection to 192.168.20.24 closed by remote host.
(Unsichere) Lösung
Achtung: Einige Anleitungen im Internet empfehlen diese Änderung in der /etc/ssh_config zu machen, womit sie für alle Benutzer und Zielsysteme gilt. Ein Ansatz für einzelne Systeme (wie unten beschrieben) ist diesem vorzuziehen!
BennyE$ vi .ssh/config
Host 192.168.20.24
HostKeyAlgorithms ssh-dss
MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
Sollten mehrere Einträge benötigt werden, dann kann dies auch so aussehen
Host 192.168.20.24
HostKeyAlgorithms ssh-dss
MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
Host 192.168.20.25
HostKeyAlgorithms ssh-dss
MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
Host 192.168.20.26
HostKeyAlgorithms ssh-dss
MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
Für den Fall dass dies für ein gesamtes Subnetz benötigt wird, funktioniert auch eine Wildcard
Host 192.168.20.*
HostKeyAlgorithms ssh-dss
MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
Sicherer Lösungsansatz
ASA Enhanced
Der sichere Lösungsansatz sieht vor dass der OmniSwitch im „ASA Enhanced“-Modus betrieben wird. Dadurch steht SSH mit RSA 2048 zur Verfügung.
-> aaa switch-access mode enhanced
Weitere Details zu „ASA Enhanced“ sind hier nachzulesen: Wichtige Information zum "aaa switch-access mode enhanced"
Secure Copy (SCP)
Fehler: exec request failed on channel 0
Zwischen macOS (Sierra) und einem ALE OmniSwitch mit AOS Release 6 kommt bei Verwendung von SCP zu folgender Fehlermeldung
BennyE$ scp -v admin@192.168.20.24:/flash/switch/snmp.engine . admin's password for keyboard-interactive method: exec request failed on channel 0
Lösung: Verwendung von sftp
Oft wird behauptet mit sftp könnte man die Datei nicht direkt herunterladen, was nicht korrekt ist. Dieses Kommando führt analog den gleichen Befehl aus.
BennyE$ sftp admin@192.168.20.24:/flash/switch/snmp.engine . admin's password for keyboard-interactive method: Connected to 192.168.20.24. Fetching /flash/switch/snmp.engine to ./snmp.engine /flash/switch/snmp.engine 100% 20 0.0KB/s 00:00 Received disconnect from 192.168.20.24 port 22:2: ssh connection closed by server Disconnected from 192.168.20.24 port 22 BennyE$ BennyE$ hexdump -C snmp.engine 00000000 00 00 00 1a 00 0b 80 00 19 56 03 e8 e7 32 90 62 |.........V...2.b| 00000010 23 60 79 74 |#`yt| 00000014