现象描述由于Diffie-HellmanKeyAgreementProtocol漏洞,需要升级服务器SSH版本。Openssh版本升级到8.5后,操作系统出现如下告警无法通过堡垒机远程连接#报错信息Unabletonegotiatewith192.168.1.101port29418:nomatchingkeyexchangemethodfound。他们提供:diffie-hellman-group1-sha1问题原因OpenSSH7.0弃用了diffie-hellman-group1-sha1密钥算法,因为它很弱并且在所谓的Logjam攻击的理论范围内。如果客户端和服务器不能就一组相互参数达成一致,连接将失败。OpenSSH(7.0及更高版本)将生成以下错误消息:#错误消息无法与192.168.1.101端口29418协商:找不到匹配的密钥交换方法。他们提供:diffie-hellman-group1-sha1在这种情况下,客户端和服务器无法就密钥交换算法达成一致,因为服务器只提供一种方法diffie-hellman-group1-sha1。修复方案客户端远程时强制指定ssh使用旧版本keyssh-oKexAlgorithms=+diffie-hellman-group1-sha1user@host在~/.ssh/config文件中配置如下代码Host*KexAlgorithms+diffie-hellman-group1-sha1是修改/etc/ssh/ssh_config文件,在末尾添加如下代码KexAlgorithms+diffie-hellman-group1-sha1#根据报错信息添加算法
