Je reprends tes 2 cents, parce que moi c’est le serveur qui est trop à jour.
Mon client n’a pas changé et supporte toujours sha1 :)
Ceci dit, sur ma Debian8, le problème était plus complexe car mes clés (pubkey
et host) étaient déjà en SHA256.
Et ça s’est mis à marcher toute à l’heure, donc Ikoula a modifié un truc.
Ma hostkey était de 2048 bits, ils avaient peut-être forcé à 4096 minimum.
Je crois que je n’aurais jamais le fin mot de l’histoire….
David
> Le 3 sept. 2024 à 15:23, Pierre Colombier via FRsAG <frsag@frsag.org> a écrit
> :
>
> ça me rappelle le problème que j'ai eu l'année dernière sur ubuntu.
>
> Je ne pouvais plus me loguer sur de vieux serveurs parce que la clé rsa (qui
> reste sécure, pas d'inquietude) était hashée en sha1.
>
> une confusion viens de ce que l'algo sha1 utilisé s'appelle "ssh-rsa"dans les
> fichiers de conf.
>
> désormais le client n'accepte plus les vieux host qui signent comme ça.
>
> Le mieux serait de mettre à jour tes vieux serveurs. Mais sinon, met ça dans
> ta conf client :
>
> PubkeyAcceptedKeyTypes +ssh-rsa
> HostKeyAlgorithms +ssh-rsa
> PubkeyAcceptedAlgorithms +ssh-rsa
>
>
> my 2 cents....
>
>
>
>
>
> Le 03/09/2024 à 15:02, David Ponzone a écrit :
>> Oui, si c’était le client en version supérieure, mais là, c’est l’inverse:
>> je maitrise le client qui est outdated, et ils ont dû mettre à jour le
>> serveur sans trop réfléchir (=anticiper les vieux clients qui se baladent et
>> qui sont pas simples à mettre à jour).
>>
>> David
>>
>>> Le 3 sept. 2024 à 14:32, Pierre-Philipp Braun <pbr...@nethence.com>
>>> <mailto:pbr...@nethence.com> a écrit :
>>>
>>> Cela me fait penser à un classique lors de connexions à des switch cisco ou
>>> à des BMC.
>>>
>>> Pour une BMC HP (ilo3).
>>>
>>> kexalgorithms diffie-hellman-group1-sha1,diffie-hellman-group14-sha1
>>> hostkeyalgorithms +ssh-dss
>>>
>>> Pour d'anciens switch cisco il faut carrément activer DES
>>>
>>> ciphers=+3des-cbc
>>>
>>> Même pour se connecter à une RHEL6 il faut autoriser les signatures DSA du
>>> côté client.
>>>
>>> hostkeyalgorithms +ssh-dss
>>>
>>> C'est probablement quelque chose de comparable, n'est-ce pas ?
>>>
>>> --
>>> Pierre-Philipp Braun
>>>
>>> On 9/3/24 15:13, David Ponzone wrote:
>>>> Bonjour Tous,
>>>> Est-ce quelqu’un a remarqué qu’une mise à jour récente d’OpenSSH sur
>>>> Debian 12 (durant les 2/3 derniers mois) a littéralement torpillé les
>>>> connexions depuis des vieux SSH (Debian 4, oui je sais, mais on fait pas
>>>> toujours ce qu’on veut sur du legacy) et a torpillé les connexions avec
>>>> auth par pubkey depuis Debian8 ?
>>>> J’ai un peu de mal à comprendre ce qui bloque pour Debian8, qqun a compris
>>>> ?
>>>> Pour Debian4, je crois que je vais m’assoir dessus, ça semble être la
>>>> négociation du kex alg qui foire, mais les messages sont peu lisibles
>>>> (mais si qqun a une idée, je suis preneur).
>>>> Merci
>>>> PS: je précise que je n’ai pas la main sur le serveur qui a mis à jour la
>>>> Debian 12, il s’agit de serveurs de backup chez Ikoula.
>>>> David
>>>> _______________________________________________
>>>> Liste de diffusion du %(real_name)s
>>>> http://www.frsag.org/ <http://www.frsag.org/>
>> _______________________________________________
>> Liste de diffusion du %(real_name)s
>> http://www.frsag.org/
>> <http://www.frsag.org/>_______________________________________________
> Liste de diffusion du %(real_name)s
> http://www.frsag.org/
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/
