Does sshd have a way to specify that certain addresses can use certain ciphers?
Sim. Exemplos simples estão na página Legacy do OpenSSH . Resumindo:
Host legacy.example.org
KexAlgorithms +diffie-hellman-group1-sha1
Ciphers +arcfour
Is there some way to put a bastion/jump server in front of the clients requiring weak encryption, and then forward that connection on to the host with stronger encryption?
Sim. Você pode configurar o servidor legado para aceitar conexões apenas do servidor de caixas de salto, por exemplo, usando /etc/hosts.allow
( tcp_wrappers
). Por exemplo:
sshd: <IP/hostname of bastion>
Os usuários configuram ProxyCommand
para pular o jumpbox
, como
Host legacy.example.com
ProxyCommand ssh -W %h:%p proxy.example.com