server-sig-algs エクステンションをサポートしない SSH サーバーおよびクライアントとの接続に失敗する
Issue
- Red Hat Enterprise Linux 9 クライアントが、server-sig-algs エクステンションまたは ECDSA ホストキーをサポートしない SSH サーバーに接続できません。 (a、b)
- server-sig-algs エクステンションをサポートしていないレガシー SSH クライアントが、RSA 認証キーを使用して Red Hat Enterprise Linux 9 サーバーに接続できません。 (c、d)
a)Red Hat Enterprise Linux 9 クライアントは、SHA1 で ssh-rsa 署名アルゴリズムのみをサポートし、RSA ホストキーのみを提供するレガシーサーバーに接続します。
$ ssh user@example.com
The authenticity of host 'example.com (1.2.3.4)' can't be established.
RSA key fingerprint is SHA256:ycznxddL1KwSN1Wbih1 UDfPntj5pM1a/kpPKLGgPzEI.
This key is not known by any other names
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added 'example.com' (RSA) to the list of known hosts.
ssh_dispatch_run_fatal: Connection to 5.6.7.8 port 22: error in libcrypto
b) Red Hat Enterprise Linux 9 クライアントは、ssh-rsa 署名アルゴリズムのみをサポートするレガシーサーバーに接続しますが、異なるホストキーを提供します。 クライアントは RSA キーで認証を試みます。
$ ssh -vvv user@example.com
[...]
debug1: Next authentication method: publickey
debug1: Offering public key: /root/.ssh/id_rsa RSA SHA256:+z5NN8Z6RfNykL5l6Ht2Cbjj16xGp76TjILrQ4Cftqk
debug1: send_pubkey_test: no mutual signature algorithm
[...]
debug1: No more authentication methods to try.
user@example.com: Permission denied (publickey).
c) Red Hat Enterprise Linux 9 サーバーは、RSA ホストキー検証をネゴシエートするレガシークライアント (RHEL6 など) の接続に SHA1 署名を提供できません。
$ ssh -vvv example.com
[...]
debug2: kex_parse_kexinit: ssh-rsa-cert-v01@openssh.com,ssh-dss-cert-v01@openssh.com,ssh-rsa-cert-v00@openssh.com,ssh-dss-cert-v00@openssh.com,ssh-rsa,ssh-dss
[...]
debug2: kex_parse_kexinit: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519
[...]
debug1: kex: server->client aes128-ctr hmac-sha1 none
debug2: mac_setup: found hmac-sha1
debug1: kex: client->server aes128-ctr hmac-sha1 none
no hostkey alg
d) レガシークライアントは、RSA 認証キーを使用して Red Hat Enterprise Linux 9 に対して認証します。
$ ssh -vvv example.com
[...]
debug2: kex_parse_kexinit: hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96
[...]
debug2: kex_parse_kexinit: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
[...]
debug2: mac_setup: found hmac-sha1
debug1: kex: server->client aes128-ctr hmac-sha1 none
debug2: mac_setup: found hmac-sha1
debug1: kex: client->server aes128-ctr hmac-sha1 none
no hostkey alg
Environment
- Red Hat Enterprise Linux
Subscriber exclusive content
A Red Hat subscription provides unlimited access to our knowledgebase, tools, and much more.
