어젯밤에 웹 서버 중 일부를 업데이트한 후 이제 FileZilla SFTP 클라이언트를 사용하여 해당 서버에 연결할 수 없습니다. FileZilla 로그는 다음과 같습니다.
2017-08-09 16:26:54 7294 3 Status: Connecting to my.rhel74.server...
2017-08-09 16:26:54 7294 3 Response: fzSftp started
2017-08-09 16:26:54 7294 3 Command: keyfile "/home/acoder/.ssh/fz"
2017-08-09 16:26:54 7294 3 Command: open "[email protected]" 22
2017-08-09 16:26:54 7294 3 Error: Server unexpectedly closed network connection
2017-08-09 16:26:54 7294 3 Error: Could not connect to server
2017-08-09 16:26:54 7294 3 Status: Waiting to retry...
2017-08-09 16:26:59 7294 3 Status: Connecting to my.rhel74.server...
2017-08-09 16:26:59 7294 3 Response: fzSftp started
2017-08-09 16:26:59 7294 3 Command: keyfile "/home/acoder/.ssh/fz"
2017-08-09 16:26:59 7294 3 Command: open "[email protected]" 22
2017-08-09 16:27:00 7294 3 Error: Server unexpectedly closed network connection
2017-08-09 16:27:00 7294 3 Error: Could not connect to server
서버의 오류 로그를 확인하면 다음과 같습니다.
8월 9일 17:05:45 rhel74server sshd[5278]: FIPS 모드 초기화됨
8월 9일 17:05:45 rhel74server sshd[5278]: 치명적: 일치하는 mac을 찾을 수 없음: 클라이언트 hmac-sha1, hmac-sha1-96, hmac-md5 서버 hmac-sha2-512, hmac-sha2- 256 [preauth]
이것은 서버의 SSH 구성입니다.
# /etc/ssh/sshd_config
Protocol 2
KexAlgorithms diffie-hellman-group-exchange-sha256
Ciphers aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512,hmac-sha2-256
실행하려면 이러한 비밀번호와 MAC이 필요하므로 비밀번호와 MAC를 변경하거나 추가하는 것은 문제가 됩니다. 하루 전 서버 운영 체제가 RHEL 7.3에서 7.4로 업데이트되기 전까지 위 구성은 제대로 작동했습니다.
내 로컬 시스템에서 사용되는 MAC은 다음과 같습니다.
user@linux-mint ~ $ nmap --script ssh2-enum-algos -sV -p 22 rhel74server
Starting Nmap 6.40 ( http://nmap.org ) at 2017-08-10 14:42 EDT
Nmap scan report for rhel74server (170.140.203.50)
Host is up (0.0026s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.4 (protocol 2.0)
| ssh2-enum-algos:
| kex_algorithms (1)
| diffie-hellman-group-exchange-sha256
| server_host_key_algorithms (3)
| ssh-rsa
| rsa-sha2-512
| rsa-sha2-256
| encryption_algorithms (3)
| aes256-ctr
| aes192-ctr
| aes128-ctr
| mac_algorithms (2)
| hmac-sha2-512
| hmac-sha2-256
| compression_algorithms (2)
| none
|_ [email protected]
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 0.38 seconds
user@linux-mint ~ $
사용 중인 서버 MAC은 hmac-sha2-512및 이며 hmac-sha2-256, 이는 클라이언트 운영 체제에서 사용 중인 MAC과 일치합니다.
Filezilla는 내 클라이언트 운영 체제의 구성을 무시하고 다음 MAC를 서버로 보내는 것 같습니다.
fatal: no matching mac found: client
hmac-sha1,
hmac-sha1-96,
hmac-md5
저는 최신 버전의 FileZilla(3.27.0.1)를 사용하고 있습니다.
다시 제대로 작동하도록 하기 위해 무엇을 더 시도할 수 있는지에 대한 단서가 있습니까?
답변1
본질적인 보안 부족으로 인해 더 이상 사용되지 않는 기능입니다!
귀하의 예에서는 클라이언트가 다음을 제공하는 것을 볼 수 있습니다.
- hmac-sha1
- hmac-sha1-96
- hmac-md5
하지만 귀하의 서버는
- hmac-sha2-512
- hmac-sha2-256
일치하는 항목이 없습니다. 아마도 서버는 업그레이드하기 전에 hmac-sha1을 기꺼이 제공했을 것입니다.
안전하지 않은 알고리즘 지원 중단
RHEL 6.9에서 안전하지 않은 알고리즘을 더 이상 사용하지 않으면 배포에 더 심각한 위협을 가할 수 있는 이전 알고리즘이 비활성화됩니다. RHEL 7.4에서 이는 클라이언트 측 및 서버 측 RC4 암호화는 물론 MD5, RIPE-MD160 및 잘린 SHA-1 MAC에도 영향을 미칩니다. Blowfish, Cast128 및 3DES 암호는 클라이언트가 허용하는 기본 알고리즘 세트에서 제거되었지만 서버에서는 계속 지원됩니다.
이전 서버 또는 클라이언트와 상호 운용하기 위해 이러한 알고리즘이 여전히 필요한 경우 업스트림 설명서에 설명된 대로 각 호스트에서 활성화할 수 있습니다. 다음 예에서는 클라이언트에서 3des-cbc 암호를 활성화하는 방법을 설명합니다.
Host legacy.example.org Ciphers +3des-cbcLegacy.example.org 클라이언트의 서버에서 hmac-md5를 활성화하는 또 다른 예:
Match Host legacy.example.org MACs +hmac-md5