[Eisfair] scp-Problem nach Base-Update auf 2.3.9

[Marcus Roeckrath]

Hallo Dirk,

Dirk Alberti wrote:

> durch die Neuerungen im SSH-Paket ergeben sich nun einige Probleme.
> 
> Ich habe schon die neuen Optionen auf
> 
> SSH_SERVER_CIPHERS           =  all
> SSH_SERVER_KEXS              =  all
> SSH_SERVER_MACS              =  all

All ist überhaupt keine gute Idee.

Stell doch fest, welche "unsichere" Optionen der ssh/scp des fli4l benötigt,
und trage nur diese ein.

> gesetzt, damit mein Fli4l wie gewohnt auf den Eisfair zugreifen kann
> (wegen einiger plink-Befehle), was nun auch wieder geht,

s. o.

> aber in der Gegenrichtung gibts nun folgendes Problem z.B. für diesen
> Cronjob:
> 
> eisfair # scp -P 2223 router:/var/log/telmond.log /var/log
> no matching mac found: client

Hat mit obiger SSH-Servereinstellung nichts zu tun; hierzu ist eine passende
ssh_config in /root/.ssh anzulegen.

Bitte nicht /etc/ssh/ssh_config bearbeiten, da diese wieder bei
Konfigurationsänderungen überschreiben würde.

In der angegebenen Wiki-Seite hat Jürgen ein Beispiel für
eine /root/.ssh/ssh_config hinterlegt.

Nimm dass als Beispiel.

>
hmac-sha2-512-etm at openssh.com,hmac-sha2-256-etm at openssh.com,hmac-ripemd160-etm at openssh.com,umac-128-etm at openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128 at openssh.com
> server hmac-sha1-96,hmac-sha1,hmac-md5
> 
> Was will mir dieses sagen und wie kann ich es beheben oder umgehen?

Der Server (flil) bietet nur hmac-sha1, hmac-sha1-96 und hmac-md5 an.

Trage eine dieser Optionen in die /root/.ssh/ssh_config ein.

> Bis zum Update ging das alles noch...

Die ssh-Härtung wurde aus ernsten Sicherheitsaspekten durchgeführt.

Bitte mal die Wiki-Seite durchlesen.

-- 
Gruss Marcus