問(wèn)題描述
某項(xiàng)目����,客戶使用Xshell5作為SSH客戶端遠(yuǎn)程登錄防火墻USG6575E(V600R007C20SPC100)���,提示Socket error Event: 32 Error: 10053�����,ssh連接斷開�,無(wú)法登陸設(shè)備。
處理過(guò)程
檢查防火墻SSH配置正確�,SSH Server運(yùn)行正常。
抓包分析客戶端與防火墻SSH服務(wù)端報(bào)文交互過(guò)程
發(fā)現(xiàn)是服務(wù)端在密鑰協(xié)商后主動(dòng)斷開了連接�,下面再進(jìn)一步服務(wù)端和客戶端查看密鑰協(xié)商報(bào)文
查看服務(wù)端密鑰協(xié)商報(bào)文:
查看客戶端密鑰協(xié)商報(bào)文:
根據(jù)服務(wù)端和客戶端密鑰協(xié)商報(bào)文可以看到:服務(wù)端只支持的ssh公鑰算法為ecdsa-sha2-nistp521,客戶端支持的ssh公鑰算法為“ssh-rsa,ssh-dss,ecdsa-sha2-nistp256,ssh-ed25519” �,即服務(wù)器端與客戶端所支持的ssh公鑰算法無(wú)交集����,密鑰交換協(xié)商過(guò)程失敗
接著查看防火墻上關(guān)于ssh服務(wù)端的配置
發(fā)現(xiàn)當(dāng)前版本防火墻的配置對(duì)比其他版本的防火墻的配置多了一條ssh server publickey ecc,該命令指定公鑰算法只允許ecc算法�����,客戶確定沒(méi)有配置過(guò)這個(gè)命令�����,為設(shè)備默認(rèn)配置�。
通過(guò)查看當(dāng)前版本的防火墻產(chǎn)品文檔,確定出廠配置文件中默認(rèn)已經(jīng)配置公鑰算法只允許為ecc�,并且防火墻默認(rèn)情況下使用ecc算法生成的本地主機(jī)密鑰對(duì)長(zhǎng)度為521(也就是抓包看到的ecdsa-sha2-nistp521)
客戶的ssh客戶端對(duì)于ecc算法生成的密鑰對(duì)長(zhǎng)度只支持256的(ecdsa-sha2-nistp256),在防火墻上使用命令
ecc local-key-pair create重新生成位數(shù)為256的本地ECC主機(jī)密鑰對(duì)后驗(yàn)證測(cè)試,使用客戶的xshell5可以成功ssh登陸設(shè)備���,問(wèn)題解決���。
