저는 정기적인 백업을 위해 기존 프로덕션 스위치 중 일부에 연결하기 위해 Ansible을 설정하려고 노력해 왔습니다. 예를 들어, 저는 많은 사람들이 직면하는 문제에 부딪혔습니다.여기.
~/.ssh/config
나는 다음을 포함하는 파일을 만들었습니다.
Host 123.123.123.123 KexAlgorithms +diffie-hellman-group14-sha1
이 방법은 작동하지 않습니다. 연결하려고 하면 여전히 오류가 발생합니다.
나는 또한 몇 가지 /etc/ssh/ssh_config
불행한 대사를 추가했습니다.
수동으로 연결하려고 하면 ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 123.123.123.123
오류 메시지가 나타납니다.
xxxx 포트 22와 협상할 수 없습니다. 일치하는 키 교환 방법을 찾을 수 없습니다. 그들의 인용문: ssh-rsa
누구든지 어떤 제안이 있습니까? 범위 및 임시 수준 모두에서 협상 서버를 설정하려고 시도한 후에도 제대로 작동하도록 할 수 없습니다.
답변1
연결하려는 컴퓨터가 보안 알고리즘을 지원하지 않습니다. 키 교환의 경우 크기가 1024비트인 Diffie-Hellman 그룹 1만 지원하는 것으로 보입니다. 이는 부적절한 80비트 보안 수준을 제공하며 주요 정부에 의해 침해된 것으로 여겨집니다.
SSH 호스트 키 알고리즘의 경우 ssh-rsa
SHA-1로 서명된 RSA만 제공됩니다. SHA-1은 안전하지 않은 것으로 알려져 있으며 충돌로 인해 발생하는 비용은 45,000달러이며 이는 모든 정부와 많은 개인의 예산에 포함됩니다.
보안상의 이유로 OpenSSH는 이러한 알고리즘을 더 이상 사용하지 않도록 비활성화했습니다. 이러한 시스템을 보안 패치가 적용된 SSH 서버로 업그레이드하거나 교체해야 합니다. 액세스해야 하는 경우 다음 구문을 사용할 수 있습니다(여러 줄이 필요함).
Host foo.example.com
KexAlgorithms +diffie-hellman-group1-sha1
HostKeyAlgorithms +ssh-rsa