Rocky Linux 9.2에 ssh 접속이 안됩니다.(error in libcrypto)
PROBLEM DESCRIPTION or QUESTION
암호화 정책 문제로 인해 SSH를 통해 Rocky Linux 9.2(Blue Onyx)에 연결할 수 없습니다. 원격 호스트에 sudo update-crypto-policies --set LEGACY를 설정하면 연결할 수 있습니다. 그러나 그것은 좋은 해결책이 아닙니다. 기본 Windows 터미널을 사용하면 문제가 없습니다.
Xshell 로그:Connecting to ......Connection established.To escape to local shell, press 'Ctrl+Alt+]'.[19:06:06] Version exchange initiated...[19:06:06] server: SSH-2.0-OpenSSH_8.7[19:06:06] client: SSH-2.0-nsssh2_7.0.0030 NetSarang Computer, Inc.[19:06:06] SSH2 is selected.[19:06:06] SSH_MSG_IGNORE(2)[19:06:06] Outgoing packet: 20 (0x14: SSH2_MSG_KEXINIT)[19:06:06] Incoming packet: 20 (0x14: SSH2_MSG_KEXINIT)[19:06:06] Algorithm negotiation initiated... (Dialog mode)[19:06:06] key exchange: curve25519-sha256@libssh.org[19:06:06] host key: ssh-rsa[19:06:06] outgoing encryption: chacha20-poly1305@openssh.com[19:06:06] incoming encryption: chacha20-poly1305@openssh.com[19:06:06] outgoing mac: hmac-sha2-256-etm@openssh.com[19:06:06] incoming mac: hmac-sha2-256-etm@openssh.com[19:06:06] outgoing compression: none[19:06:06] incoming compression: none[19:06:06] Outgoing packet: 30 (0x1e: SSH2_MSG_KEXDH_INIT)Connection closing...Socket close.
Connection closed by foreign host.
Rocky Linux 로그:
fatal: mm_answer_sign: sign: error in libcrypto
서버측에서 레거시 암호화 정책을 구성하지 않고도 연결을 허용하도록 Xshell 암호화 설정을 구성하는 데 도움을 주실 수 있습니까?
RESOLUTION
이 문제의 근본 원인은 SHA1 기반 ssh-rsa 알고리즘이 최신 서버에서 더 이상 사용되지 않는다는 OpenSSH 정책에서 비롯됩니다.
https://www.openssh.com/txt/release-8.2
그러나 Xshell은 새로운 SSH 서버와 기존 SSH 서버에 연결하기 위해 이 알고리즘을 가지고 있어야 합니다.
서버의 암호 정책을 유지하면서도 접속이 되도록 하기 위해 2가지 선택이 있습니다.
모든 Xshell 사용자가 적용해야 하는 클라이언트의 해결책
In the Local Shell of Xshell, use the following command:
로컬 셸에서 다음 명령을 실행합니다:
set DisableHostKeySshRsa = 1
최신 MS Windows의 클라이언트 프로그램을 포함한 OpenSSH 클라이언트 프로그램은 이 값이 기본입니다. Xshell 또한 다음 버전에서는 이 값을 기본으로 할 예정입니다.서버측 해결책
sshd_config 파일에서 서버의 호스트 키에서 RSA 호스트 키 타입을 뺍니다.
#HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key