A5:SQL Mk-2

開発のこと、日々のこと

SSH経由での接続

ホーム フォーラム A5:SQL Mk-2掲示板 SSH経由での接続

  • このトピックには6件の返信、1人の参加者があり、最後にKFにより1年前に更新されました。
7件の投稿を表示中 - 1 - 7件目 (全7件中)
  • 投稿者
    投稿
  • 2023/03/29 14:18 #20157 返信
    KF
    ゲスト

    お世話になります。
    現在Redhat系の新しいOS(AlmaLinux9.1)のサーバーを経由して
    DB接続を試みているのですが、a5m2を使ったSSH経由の接続ができません。

    調べてみると、デフォルトで SHA1が無効になっておりますが、
    SSHサーバー側のSHA1を再度有効化しないと通信できない状態となっております。

    SHA1は社会的に廃止の方向性の為、
    早めに対応をお願いできないでしょうか?

    以下確認コマンド

    # 鍵ファイル
    $ ssh-keygen -l -f (鍵ファイル)
    2048 SHA256: …

    # サーバー側
    $ update-crypto-policies –show
    DEFAULT
    → クライアント側で接続しようとした際以下エラー
     Authentication failed
     publickey,gssapi-keyex,gssapi-with-mic

    $ update-crypto-policies –set DEFAULT:SHA1
    (省略)
    $ update-crypto-policies –set DEFAULT:SHA1
    DEFAULT:SHA1
    → クライアント側で接続を試みると成功

    宜しくお願いします。

    2023/03/29 15:03 #20158 返信
    KF
    ゲスト

    投稿した後に、類似事象として過去記事を見つけました。
    https://a5m2.mmatsubara.com/wp/?topic=rsa-sha-256-512

    同情報を参考に beta 34, 56でも試したのですが、
    いずれも改善されていないことを確認しました。

    ですが、niitsuma様の投稿にある通り putty形式にすれば接続できたので
    暫定でそちらの接続を行いますが、修正の検討を頂ければ幸いです。

    宜しくお願いします。

    2023/04/03 22:57 #20167 返信
    松原正和
    キーマスター

    KF さんこんにちは。
     
    A5:SQL Mk-2 に内蔵しているSSHライブラリ(Devart 社 SecureBridge)は、鍵交換アルゴリズムとして、curve25519-sha256,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1 に対応しているはずなのですが、どうも diffie-hellman-group1-sha1 でしか接続してくれないようにも見えます。(ちょっとよくわかりませんでした。)
     
    もう少し調査します。
     
    なお、A5M2.exe と同じフォルダに A5M2.log という空ファイルを作成すると、SSH経由での接続時にSSHの接続情報の詳細情報を含むログが出力されるようになります。

    2023/04/04 12:11 #20170 返信
    KF
    ゲスト

    ご確認くださり有難うございます。
    当方で調査した状況ですが、SHA1で接続確率に失敗した際、A5M2.logにめぼしい状況はありませんでした。
    ※ 接続確立時は詳細ログが出力されましたが、
      接続失敗時は通信に関わる詳細なログは出力されませんでした。

    ですが、サーバー側でsshd_configのLogLevelをINFOから DEBUG3まで落とした所、
    いくつか気になったログがあるので参考に共有します。
    ※ 全て貼り付けると量が多いので、気になった箇所を抜粋します。

    —-

    (A5M2 v2.18.0 beta55 にて SSH経由で接続を試行)

     ↓

    [sshd_server]:/var/log/secure

    debug1: Local version string SSH-2.0-OpenSSH_8.7
    debug1: Remote protocol version 2.0, remote software version Devart_8.0

    debug2: input_userauth_request: try method publickey [preauth]
    debug2: userauth_pubkey: valid user ec2-user querying public key ssh-rsa AAAAB3NzaC1yc… (省略)
    userauth_pubkey: key type ssh-rsa not in PubkeyAcceptedAlgorithms [preauth]

    → Devartのモジュールが 8.0で接続しようとしていること(SecureBridgeは10.x?)
    最終的に クライアントサイドが ssh-rsa(sha1)が公開鍵認証を試みていること

    といったことが見受けられるログが出力されました。
    (Delphiでビルドする際のモジュールのバージョンが誤ってるだけだと楽なのですが)

    参考になる部分があれば幸いです。

    宜しくお願いします。

    2023/04/06 00:19 #20180 返信
    松原正和
    キーマスター

    KFさんこんにちは。
     
    AlmaLinux 9.1(OpenSSH 8.7) を仮想環境に用意していろいろ試してみました。
    不具合の修正はできていないのですが、いくつか分かったことがあります。
    まず鍵形式による接続可否は以下の通りでした。
    ・鍵形式がRSA2048, RSA4096, RSA8192 ではSSH接続に失敗
    ・鍵形式がEd25519の場合は接続可能
     
    鍵形式がRSA2048, RSA4096, RSA8192のとき、sha1 ハッシュ形式が使えなくてエラーになるのではなく、sha256形式のハッシュで署名の検証に失敗しているように見えます。
     
    以下ログより

    debug3: mm_answer_keyverify: publickey RSA signature unverified: incorrect signature
    debug1: auth_activate_options: setting new authentication options
    debug3: mm_request_send: entering, type 25
    Failed publickey for masakazu from 192.168.44.1 port 59880 ssh2: RSA SHA256:fQEfOjI52zktP6VnqMvCnhH3viUh+3Hd8b4/JYeVYgY

     
    ところで、OpenSSH は 8.8 から sha1 がデフォルトで使えなくなったような情報を見かけましたが、AlmaLinux は OpenSSH 8.7 でも sha1 が使えなくなっているのですかね?
     
    さしあたりの対処としては、Ed25519 鍵を使うと接続できるようです。この症状を修正できるかどうかわかりませんが、もう少し試してみることにします。

    2023/04/09 09:41 #20185 返信
    松原正和
    キーマスター

    KFさんこんにちは。
     
    ちょうど SSH接続ライブラリの Devart SecureBridge ライブラリで修正版が出ていましたので Version 2.18.0 release candidate 1 で対応しました。これで、RSAxxxx形式の鍵ファイルを使用しても接続できるかと思います。

    2023/04/11 23:05 #20193 返信
    KF
    ゲスト

    早急なご対応有難うございます!

    当方にても無事SHA2の鍵として扱えることを確認致しました。
    お忙しい中のご対応有難うございます。

  • 投稿者
    投稿
7件の投稿を表示中 - 1 - 7件目 (全7件中)
返信先: SSH経由での接続
あなたの情報:




コメントは受け付けていません。