[FRsAG] Re: OpenSSH Debian12 vs Debian 8

Tue, 03 Sep 2024 06:24:06 -0700 

ça me rappelle le problème que j'ai eu l'année dernière sur ubuntu.
Je ne pouvais plus me loguer sur de vieux serveurs parce que la clé rsa (qui reste sécure, pas d'inquietude) était hashée en sha1.
une confusion viens de ce que l'algo sha1 utilisé s'appelle "ssh-rsa"dans les fichiers de conf. 

désormais le client n'accepte plus les vieux host qui signent comme ça.
Le mieux serait de mettre à jour tes vieux serveurs. Mais sinon, met ça dans ta conf client : 

PubkeyAcceptedKeyTypes +ssh-rsa
HostKeyAlgorithms +ssh-rsa
PubkeyAcceptedAlgorithms +ssh-rsa

my 2 cents....



Le 03/09/2024 à 15:02, David Ponzone a écrit :

Oui, si c’était le client en version supérieure, mais là, c’est l’inverse: je 
maitrise le client qui est outdated, et ils ont dû mettre à jour le serveur 
sans trop réfléchir (=anticiper les vieux clients qui se baladent et qui sont 
pas simples à mettre à jour).

David


Le 3 sept. 2024 à 14:32, Pierre-Philipp Braun<pbr...@nethence.com>  a écrit :

Cela me fait penser à un classique lors de connexions à des switch cisco ou à 
des BMC.

Pour une BMC HP (ilo3).

        kexalgorithms diffie-hellman-group1-sha1,diffie-hellman-group14-sha1
        hostkeyalgorithms +ssh-dss

Pour d'anciens switch cisco il faut carrément activer DES

        ciphers=+3des-cbc

Même pour se connecter à une RHEL6 il faut autoriser les signatures DSA du côté 
client.

        hostkeyalgorithms +ssh-dss

C'est probablement quelque chose de comparable, n'est-ce pas ?

--
Pierre-Philipp Braun

On 9/3/24 15:13, David Ponzone wrote:

Bonjour Tous,
Est-ce quelqu’un a remarqué qu’une mise à jour récente d’OpenSSH sur Debian 12 
(durant les 2/3 derniers mois) a littéralement torpillé les connexions depuis 
des vieux SSH (Debian 4, oui je sais, mais on fait pas toujours ce qu’on veut 
sur du legacy) et a torpillé les connexions avec auth par pubkey depuis Debian8 
?
J’ai un peu de mal à comprendre ce qui bloque pour Debian8, qqun a compris ?
Pour Debian4, je crois que je vais m’assoir dessus, ça semble être la 
négociation du kex alg qui foire, mais les messages sont peu lisibles (mais si 
qqun a une idée, je suis preneur).
Merci
PS: je précise que je n’ai pas la main sur le serveur qui a mis à jour la 
Debian 12, il s’agit de serveurs de backup chez Ikoula.
David
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/

_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/

Répondre à