Teh Hermit
Page
  • Show page
  • Old revisions
  • Backlinks
  • Back to top
    • Site
  • Recent Changes
  • Media Manager
  • Sitemap
    • User

    Page tools

  • Show page
  • Old revisions
  • Backlinks
  • Back to top

    • Site tools

  • Recent Changes
  • Media Manager
  • Sitemap

    • User tools
    Trace: транспортные_правила

    Differences

    This shows you the differences between two versions of the page.

    Link to this comparison view

    Both sides previous revisionPrevious revision
    Next revision    		Previous revision
    отключаем_небезопасные_алгоритмы_ssh [2025/10/01 09:18] jpотключаем_небезопасные_алгоритмы_ssh [2025/10/01 09:25] (current) jp
    Line 27: Line 27:
     === Отключаем ecdsa-sha2-nistp256 === === Отключаем ecdsa-sha2-nistp256 ===
      
    -Если сервер старше 8.5, чтобы исключить //ecdsa-sha2-nistp256// добавим в конфиг следующие директивы:+Если сервер старше 8.5, чтобы исключить //ecdsa-sha2-nistp256// добавим в конфиг //sshd_config// следующие директивы:
     <code> <code>
     HostKeyAlgorithms -ecdsa-sha2-nistp256 HostKeyAlgorithms -ecdsa-sha2-nistp256
    Line 33: Line 33:
     </code> </code>
      
    -В OpenSSH младше версии 8.5 директива //PubkeyAcceptedAlgorithms// имеет другое название (настройка и эффект ничем не отличается).+В OpenSSH младше версии 8.5 директива //PubkeyAcceptedAlgorithms// имеет другое название (настройка и эффект ничем не отличаются).
     <code> <code>
     PubkeyAcceptedKeyTypes -ecdsa-sha2-nistp256 PubkeyAcceptedKeyTypes -ecdsa-sha2-nistp256
    Line 64: Line 64:
     ssh -oHostKeyAlgorithms=ecdsa-sha2-nistp256 -oPubkeyAcceptedAlgorithms=ecdsa-sha2-nistp256 root@localhost -vv ssh -oHostKeyAlgorithms=ecdsa-sha2-nistp256 -oPubkeyAcceptedAlgorithms=ecdsa-sha2-nistp256 root@localhost -vv
     </code> </code>
     +
     +Если алгоритм отключен, подключение не установится, получим что-нибудь похожее на:
     +
     + <WRAP prewrap>
     +<code>
     +Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: rsa-sha2-512,rsa-sha2-256,ssh-ed25519
     +</code>
     +</WRAP>
      
     Можно протестировать подключение с использованием конкретного MAC и посмотреть - не согласовывают ли сервер и клиент отключенный ранее алгоритм. Можно протестировать подключение с использованием конкретного MAC и посмотреть - не согласовывают ли сервер и клиент отключенный ранее алгоритм.
      
     +:!: Здесь подключение всё равно может установиться, несмотря на опцию. Важно убедиться в том, что отключенный в реальности MAC не согласовывается и не используется.
     <code> <code>
    -ssh -o MACs=umac-64-etm@openssh.com root@10.10.111.198 -vv+ssh -o MACs=umac-64-etm@openssh.com root@192.168.0.-vv
     </code> </code>
     +
     +Ищем похожие строки в выводе:
      
     <code> <code>
    Line 78: Line 89:
     </code> </code>
      
    -Если алгоритм отключен, подключение не установится, получим чтоибудь похожее на: +Данным сканированием NMAP мы также можем проверить протоколы и шифры:
    - +
    - <WRAP prewrap> +
    -<code> +
    -Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offerrsa-sha2-512,rsa-sha2-256,ssh-ed25519 +
    -</code> +
    -</WRAP>+
      
     +  nmap -p22 -n -sV --unprivileged --script ssh2-enum-algos 192.168.0.1
     {{tag>Putty SSH Ubuntu Linux Certificates}} {{tag>Putty SSH Ubuntu Linux Certificates}}
    отключаем_небезопасные_алгоритмы_ssh.1759310328.txt.gz · Last modified: by jp