PDA

View Full Version : SSH SFTP no matching cipher found


itec01
04-07-22, 15:29
Hallo Zusammen,
zuerst, schön, dass es das Forum wieder gibt.

Ich möchte auf einen fremden SFTP Server zugreifen.
Beispiel:
call QP2TERM
sftp user@ip
Nun kommt die Meldung:Unable to negotiate with xx.xx.xxx port 22: no matching cipher found. Their offer: 3des-cbc,aes128-cbc,aes256-cbc,blowfish-cbc
,cast128-cbc

Mit ssh -Q cipher sehe ich die cipher, ebenso mit wrksysval qsslcsl.
In der /QOpenSys/QIBM/ProdData/SC1/OpenSSH/etc/ssh_config Datei sind die Ciphers aber alle mit # versehen, spricht wohl doch nicht aktiv.

Was läuft hier falsch?

Vielen Dank.


Gruß Klaus
Andreas_Prouza
04-07-22, 16:51
Hallo Klaus,
Kannst du via ssh (also nicht sftp) auch keine Verbindung aufbauen?
Du könntest auch versuchen den Cipher mit anzugeben
sftp -c {dein-cipher} user@ip

Das mit den Cipher ist immer ein mühsames Thema wenn der Server oder Client nicht die (halbwegs) aktuellen Secuirty Updates hat.
Auf der IBM i gibt es auch verschiedene Stellen wo die erlaubten Cipher eingestellt werden können (z.B. DCM und SST).

Alternativ kannst du auch scp für einen Filetransfer benützen.

lg Andreas
itec01
04-07-22, 23:05
Hallo Andreas,
ja, der SSH funktioniert auch nicht. Hier kommt das gleiche Ergebnis.
Auch mit sftp -c Cipher funktioniert es leider auch nicht.

Wie finde ich heraus, welcher Cipher überhaupt erlaubt ist. Werde morgen den Admin des fremden SFTP Servers fragen. Für was ist das überhaupt gut? Ich hatte bisher nie Probleme mit dem Zugriff auf fremde FTP Server.
Guts Nächtle.
Klaus
itec01
05-07-22, 10:22
Habe es gelöst.

https://lanbugs.de/howtos/linux/alte-cisco-geraete-und-ssh-warnung-no-matching-key-exchange-method-found-und-no-matching-cipher-found/#
(https://lanbugs.de/howtos/linux/alte-cisco-geraete-und-ssh-warnung-no-matching-key-exchange-method-found-und-no-matching-cipher-found/)In das User Verzeichnis in der config file den oder die cipher eintragen oder wenn man es global erlauben möchten, dann könnte man auch die entsprechende Zeile in /QOpenSys/QIBM/ProdData/SC1/OpenSSH/etc/ssh_config auskommentieren. Allerdings würde ich davon abraten, weil die Verwendung eines Blockchiffrieralgorithmus im Cipher Block Chainin folgende Verwundbarkeit CVE-2008-5161 mit sich bringt. Daher würde ich es, wenn überhaupt über die config-Datei pro User realisieren!