A conexão SFTP falha com: grupo DH GEX fora do intervalo

2

Oi eu estou tentando se conectar a um servidor sftp mas continua a falhar com este erro: grupo DH GEX fora do intervalo

este é o log detalhado ... olhando em volta, descobri que o problema tem a ver com o tamanho da chave

OpenSSH_7.4p1 Ubuntu-10, OpenSSL 1.0.2g  1 Mar 2016
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to **** [****] port 22.
debug1: Connection established.
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_7.4p1 Ubuntu-10
debug1: Remote protocol version 2.0, remote software version XFB.Gateway Windows
debug1: no match: XFB.Gateway Windows
debug1: Authenticating to ****:22 as 'User'
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: diffie-hellman-group-exchange-sha1
debug1: kex: host key algorithm: ssh-rsa
debug1: kex: server->client cipher: aes256-ctr MAC: hmac-sha1 compression: none
debug1: kex: client->server cipher: aes256-ctr MAC: hmac-sha1 compression: none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(2048<8192<8192) sent
debug1: got SSH2_MSG_KEX_DH_GEX_GROUP
ssh_dispatch_run_fatal: Connection to **** port 22: DH GEX group out of range
Couldn't read packet: Connection reset by peer

a seguinte solução, conforme sugerido, aqui não funcionou:

-o KexAlgorithms=diffie-hellman-group-exchange-sha1 -o HostKeyAlgorithms=+ssh-dss

Eu também tentei essa opção como sugerido aqui

KexDHMin=1024

mas eu recebo este erro

command-line: line 0: Bad configuration option: kexdhmin

alguma ideia sobre o que posso fazer para corrigir isso?

    
por davide bubz 28.05.2017 / 14:14

1 resposta

2

Você está se conectando a um novo OpenSSH que reduziu o tamanho mínimo do grupo DH para 2048 (o que não é padrão, mas não há motivo para que o servidor não aceite isso) para algumas implementações antigas do Windows ( XFB.Gateway Windows ). Isso é provavelmente algum software comercial, então você deve entrar em contato com o seu fornecedor para que ele conserte.

Não existe uma opção de configuração para selecionar esse tamanho mínimo de grupos DH, portanto, você pode ter alguma sorte usando um algoritmo de troca de chaves diferente, se esse servidor suportar um. Ele ficará visível no log de depuração com -vvv switches.

    
por 29.05.2017 / 12:26

Tags