昨晩Webサーバーの一部を更新した後、FileZilla SFTPクライアントを使用してサーバーに接続できなくなりました。 FileZillaログは次のとおりです。
2017-08-09 16:26:54 7294 3 Status: Connecting to my.rhel74.server...
2017-08-09 16:26:54 7294 3 Response: fzSftp started
2017-08-09 16:26:54 7294 3 Command: keyfile "/home/acoder/.ssh/fz"
2017-08-09 16:26:54 7294 3 Command: open "[email protected]" 22
2017-08-09 16:26:54 7294 3 Error: Server unexpectedly closed network connection
2017-08-09 16:26:54 7294 3 Error: Could not connect to server
2017-08-09 16:26:54 7294 3 Status: Waiting to retry...
2017-08-09 16:26:59 7294 3 Status: Connecting to my.rhel74.server...
2017-08-09 16:26:59 7294 3 Response: fzSftp started
2017-08-09 16:26:59 7294 3 Command: keyfile "/home/acoder/.ssh/fz"
2017-08-09 16:26:59 7294 3 Command: open "[email protected]" 22
2017-08-09 16:27:00 7294 3 Error: Server unexpectedly closed network connection
2017-08-09 16:27:00 7294 3 Error: Could not connect to server
サーバーのエラーログを確認すると、次のようになります。
8月9日 17:05:45 rhel74server sshd[5278]: FIPS モード初期化
8月9日17:05:45 rhel74server sshd [5278]:致命的:一致するmacが見つかりません:クライアントhmac-sha1、hmac-sha1-96、hmac-md5サーバーhmac-sha2-512、hmac-sha2- 256 [preauth]
これはサーバーのSSH構成です。
# /etc/ssh/sshd_config
Protocol 2
KexAlgorithms diffie-hellman-group-exchange-sha256
Ciphers aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512,hmac-sha2-256
実行するにはこれらのパスワードとMACが必要なので、パスワードとMACを変更または追加することは問題になります。 1日前、サーバーオペレーティングシステムがRHEL 7.3から7.4に更新されるまで、上記の設定は正常に機能しました。
私のローカルシステムで使用されるMACは次のとおりです。
user@linux-mint ~ $ nmap --script ssh2-enum-algos -sV -p 22 rhel74server
Starting Nmap 6.40 ( http://nmap.org ) at 2017-08-10 14:42 EDT
Nmap scan report for rhel74server (170.140.203.50)
Host is up (0.0026s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.4 (protocol 2.0)
| ssh2-enum-algos:
| kex_algorithms (1)
| diffie-hellman-group-exchange-sha256
| server_host_key_algorithms (3)
| ssh-rsa
| rsa-sha2-512
| rsa-sha2-256
| encryption_algorithms (3)
| aes256-ctr
| aes192-ctr
| aes128-ctr
| mac_algorithms (2)
| hmac-sha2-512
| hmac-sha2-256
| compression_algorithms (2)
| none
|_ [email protected]
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 0.38 seconds
user@linux-mint ~ $
使用中のサーバーMACはおよびでありhmac-sha2-512
、hmac-sha2-256
これはクライアントオペレーティングシステムで使用されているMACと一致します。
Filezillaは私のクライアントオペレーティングシステムの設定を無視し、次のMACをサーバーに送信するようです。
fatal: no matching mac found: client
hmac-sha1,
hmac-sha1-96,
hmac-md5
私は最新バージョンのFileZilla(3.27.0.1)を使用しています。
もう一度正しく機能させるために何を試すことができるかについての手がかりはありますか?
答え1
本質的なセキュリティの欠如のために使用されなくなった機能です!
あなたの例では、クライアントが以下を提供していることがわかります。
- hmac-sha1
- hmac-sha1-96
- hmac-md5
しかし、あなたのサーバーは
- hmac-sha2-512
- hmac-sha2-256
一致するものはありません。おそらく、サーバーはアップグレードする前にhmac-sha1を喜んで提供していたでしょう。
安全でないアルゴリズムサポートの中断
RHEL 6.9で安全でないアルゴリズムを使用しなくなった場合、展開に深刻な脅威を与える可能性がある以前のアルゴリズムは無効になります。 RHEL 7.4 では、これはクライアント側およびサーバー側の RC4 暗号化だけでなく、MD5、RIPE-MD160、および切り捨てられた SHA-1 MAC にも影響します。 Blowfish、Cast128、および3DESパスワードは、クライアントが受け入れるデフォルトのアルゴリズムセットから削除されましたが、サーバーでは引き続きサポートされます。
以前のサーバーまたはクライアントと相互運用するためにこれらのアルゴリズムが依然として必要な場合は、アップストリームのマニュアルで説明されているように各ホストで有効にできます。次の例では、クライアントで 3des-cbc パスワードを有効にする方法を説明します。
Host legacy.example.org Ciphers +3des-cbc
Legacy.example.orgクライアントのサーバーでhmac-md5を有効にする別の例:
Match Host legacy.example.org MACs +hmac-md5