ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | После обновления ssh перестал цепляться к Cisco | ||
|---|---|---|---|
| Product: | Sisyphus | Reporter: | Горев Андрей <nekapitan2009> |
| Component: | openssh | Assignee: | Gleb F-Malinovskiy <glebfm> |
| Status: | CLOSED NOTABUG | QA Contact: | qa-sisyphus |
| Severity: | major | ||
| Priority: | P3 | CC: | evg, glebfm, ldv, mike, rider, vt |
| Version: | unstable | ||
| Hardware: | all | ||
| OS: | Linux | ||
тут всё рассказано: http://www.openssh.com/legacy.html (In reply to comment #0) > ssh: Unable to negotiate with 10.135.63.12: no matching key exchange method > found. Their offer: diffie-hellman-group1-sha1 Тут же всё цветом по фону написано -- сервер предлагает всего один key exchange method, клиент не хочет с ним работать. Напишите в конфиг про этот хост KexAlgorithms +diffie-hellman-group1-sha1 Этот алгоритм теперь в ssh-клиенте по-умолчанию выключен. Коллеги, а как думаете, в rescue iso стоит разрешить diffie-hellman-group1-sha1 и ssh-dss? в rescue ssh не критичен, а кому нужен - тот и сам знает. Я думаю, что в (потенциально стрессовых) условиях использования rescue не каждый навскидку вспомнит список изменений в openssh, поэтому я за то, чтобы разрешить. Конечно, от того, что разрешишь - ничто нигде не сломается ;) Но сколько себя помню - не приходилось из rescue ходить по ssh, разве что из чрута установленной системы, а там уже всё и так было настроено. (В ответ на комментарий №6) > Но сколько себя помню - не приходилось из rescue ходить по ssh Мне регулярно доводится вытаскивать данные наружу или, наоборот, затягивать. В общем, постараюсь включить, т.к. согласен со мнением evg@. Ребята! РАЗРЕШАЙТЕ! В реале приходилось ходить из rescue ALTLinux по ssh! Залетели диски и доступа к другой тачке не было - пришлось запускаться с DVD и лезть управлять Cisco с rescue! Там ещё хуже ситуация была, было не до восстановления своей тачки было - там почти вся сеть лежала! А это не много и не мало порядка 60 Cisco и 20 офисов в пяти областях. Спасибо, тебе, glebfm! Твой совет оказался лучше всего! Опубликуйте его ещё и в документации - там ничего об этом нет. Только на сайте. А до сайта не всегда, как показывает практика, и долезть можно. (В ответ на комментарий №8) > Ребята! РАЗРЕШАЙТЕ! В реале приходилось ходить из rescue ALTLinux по ssh! Сделано в mkimage-profiles 1.1.83 -- соответственно в регулярках этой недели тоже должно быть учтено. |
К которой ранее цеплялся без проблем. Посколько каждый день с Cisco-ми работаю заметил сразу же. Выглядит так: .... no matching key exchange method found. Their offer: diffie-hellman-group1-sha1 До этого такого не было. Ну, не цепляться же telnet-ом по незащищённому каналу! Где версия IOS поновее туда и не идёт. Поскольку сеть большая - напряжно. А вот как выгляди, если запустить ssh с ключом -v: OpenSSH_7.1p1, OpenSSL 1.0.2e 3 Dec 2015 debug1: Reading configuration data /etc/openssh/ssh_config debug1: /etc/openssh/ssh_config line 20: Applying options for * debug1: Connecting to 10.135.63.12 [10.135.63.12] port 22. debug1: Connection established. debug1: identity file /home/-----/.ssh/id_rsa type 1 debug1: key_load_public: No such file or directory debug1: identity file /home/-----/.ssh/id_rsa-cert type -1 debug1: key_load_public: No such file or directory debug1: identity file /home/-----/.ssh/id_dsa type -1 debug1: key_load_public: No such file or directory debug1: identity file /home/-----/.ssh/id_dsa-cert type -1 debug1: identity file /home/-----/.ssh/id_ecdsa type 3 debug1: key_load_public: No such file or directory debug1: identity file /home/-----/.ssh/id_ecdsa-cert type -1 debug1: identity file /home/-----/.ssh/id_ed25519 type 4 debug1: key_load_public: No such file or directory debug1: identity file /home/-----/.ssh/id_ed25519-cert type -1 debug1: Enabling compatibility mode for protocol 2.0 debug1: Local version string SSH-2.0-OpenSSH_7.1 debug1: Remote protocol version 1.99, remote software version Cisco-1.25 debug1: match: Cisco-1.25 pat Cisco-1.* compat 0x60000000 debug1: Authenticating to 10.135.63.12:22 as '-----' debug1: SSH2_MSG_KEXINIT sent debug1: SSH2_MSG_KEXINIT received debug1: kex: server->client aes256-cbc hmac-sha1 none debug1: kex: client->server aes256-cbc hmac-sha1 none ssh: Unable to negotiate with 10.135.63.12: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1 Заметим: файл id_rsa есть, id_rsa.pub тоже есть. Специально для проверки сгенерировал id_ecdsa и id_ed25519. Та же жопа, только с другого бока! До обновления всё работало тики-тики! P.S. на ----- внимания не обращайте!