ça me rappelle le problème que j'ai eu l'année dernière sur ubuntu.

Je ne pouvais plus me loguer sur de vieux serveurs parce que la clé rsa (qui reste sécure, pas d'inquietude) était hashée en sha1.

une confusion viens de ce que l'algo sha1 utilisé s'appelle "ssh-rsa"dans les fichiers de conf.

désormais le client n'accepte plus les vieux host qui signent comme ça.

Le mieux serait de mettre à jour tes vieux serveurs. Mais sinon, met ça dans ta conf client :

PubkeyAcceptedKeyTypes +ssh-rsa
HostKeyAlgorithms +ssh-rsa
PubkeyAcceptedAlgorithms +ssh-rsa

my 2 cents....



Le 03/09/2024 à 15:02, David Ponzone a écrit :
Oui, si c’était le client en version supérieure, mais là, c’est l’inverse: je maitrise le client qui est outdated, et ils ont dû mettre à jour le serveur sans trop réfléchir (=anticiper les vieux clients qui se baladent et qui sont pas simples à mettre à jour).

David

Le 3 sept. 2024 à 14:32, Pierre-Philipp Braun <pbraun@nethence.com> a écrit :

Cela me fait penser à un classique lors de connexions à des switch cisco ou à des BMC.

Pour une BMC HP (ilo3).

       kexalgorithms diffie-hellman-group1-sha1,diffie-hellman-group14-sha1
       hostkeyalgorithms +ssh-dss

Pour d'anciens switch cisco il faut carrément activer DES

	ciphers=+3des-cbc

Même pour se connecter à une RHEL6 il faut autoriser les signatures DSA du côté client.

	hostkeyalgorithms +ssh-dss

C'est probablement quelque chose de comparable, n'est-ce pas ?

-- 
Pierre-Philipp Braun

On 9/3/24 15:13, David Ponzone wrote:
Bonjour Tous,
Est-ce quelqu’un a remarqué qu’une mise à jour récente d’OpenSSH sur Debian 12 (durant les 2/3 derniers mois) a littéralement torpillé les connexions depuis des vieux SSH (Debian 4, oui je sais, mais on fait pas toujours ce qu’on veut sur du legacy) et a torpillé les connexions avec auth par pubkey depuis Debian8 ?
J’ai un peu de mal à comprendre ce qui bloque pour Debian8, qqun a compris ?
Pour Debian4, je crois que je vais m’assoir dessus, ça semble être la négociation du kex alg qui foire, mais les messages sont peu lisibles (mais si qqun a une idée, je suis preneur).
Merci
PS: je précise que je n’ai pas la main sur le serveur qui a mis à jour la Debian 12, il s’agit de serveurs de backup chez Ikoula.
David
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/