Far-NetBox
Far-NetBox copied to clipboard
michaellukashov
SFTP key auth is broken for new openssh server versions at least 8.7p1 & 8.8p1
Проверено с версией openssh 8.8p1 которая текущая в archlinux, и версией 8.7p1 из Centos Stream 9. Версия Far 3.0.5888.0 x64, и также отдельно воспроизводится с обновленным плагином до 2.4.5.541.10 x64.
Если запретить вход по паролю и использовать авторизацию по ключу, то NetBox не может соединиться с этими серверами по sftp. Со стороны сервера ошибка: No supported authentication methods available [preauth]. Вход по паролю работает.
Дополнительная информация: FileZilla версии 3.22.2.2 не может соединиться с такой же ошибкой, но при обновлении до 3.57.0 заработало. Также входит используя стандартные виндовые средства sftp и putty.
Без поиска причин явления с ходу - "такая же ситуация".:) А если подумать?
Включите лог файл и пришлите его содержимое.
SSL ключи зашифрованы киперами, кипер, используемые в ключе обозначаются как к примеру -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: AES-256-CBC,06A16DB50701C4E4FF6D710544F1F81C
Откройте ключ, посмотрите кипер которым он зашифрован. Этот кипер должен поддерживаться и НЕТБОКСОМ и сервером SSHD. Раз Файлзилла может подключиться с этим ключом к северу - сервер этот протокол шифрования знает. Это значит что проблема в самом нетбоксе а именно - он либо не поддерживает кипер ключа, либо он не поддерживает протокол обмена данными с SSH сервером (последнее - маловероятно). Список поддерживаемых киперов нетбоксом вы видите в закладке SSH соединения. Их не так много и нет точных названий - просто AES - какой именно - не указано. DES тоже без подробностей, поэтому логи вам пригодятся.
Начните с простого - убедитесь что кипер ключа поддерживается нетбоксом.
В логах нетбокса вы увидите какие протоколы и киперы небокс пытался использовать до перехода на авторизацию по паролю. Если файлзилла обновился и заработал - это значит что у него поменялся OpenSSL с которым он поставляется на более новый и это скорее всего значит что ваш ключ зашифрован чем то что не знает НЕТБОКС.
Если вы сами себе создали ключ - то зашифруйте его чем нибудь обычным как AES-256-CBC чтобы и NETBOX и сервер точно знали этот кипер.
Попробуйте настройку Legacy DES over SSH2 ели ключ зашифрован старым DESом
Похоже, что ситуация выглядит так:
- Последняя официально доступная версия NetBox 2.4.5.531 04.11.2017.
- Данная версия базируется на исходниках WinSCP 5.11.2.
- Проблема в WinSCP 5.19.5 и более ранних "Support rsa-sha2-256 and rsa-sha2-512 SSH public key algorithms" - описывает проблему, которая является источником данной проблемы, так как OpenSSH 8.8 по умолчанию выключает ssh-rsa (например, пришли на сервер последние апдейты, вот и перестало работать).
- Таким образом для исправления проблемы NetBOx надо проапдейтить так, чтобы он базировался на WinSCP 5.20 или более поздних версиях. Насколько я вижу попытка сделать это делается на бренче
far3-winscp5.21.6.
@michaellukashov Очень надеемся, что получится проапгрейдить и выпустить новую версию. Спасибо за ваши усилия.
@achernyakevich-sc
Вы смотрите по ChangeLog, а он давно не обновлялся - текущие бинарники NetBox v2.4.5.545 используют WinSCP v5.11.2 и PuTTY 0.70
текущие бинарники NetBox v2.4.5.545 используют WinSCP v5.11.2 и PuTTY 0.70
@VictorVG это ничего не меняет, так как проблема решена только в версиях WinSCP включая и после 5.20.
Добрый день.
Столкнулся с такой же проблемой, новый хост на OLES9.1/ssh 8.7pl там по-умолчанию отключен SHA-1, а принудительное добавление устаревших алгоритмов не позволяется.
WinSCP обновил до 6-й версии, а вот с Far'ом беда (NetBox 2.4.544.5).
Пришлось на пароли возвращаться, которые вечно быстро устаревают.
Нет ли света в конце тоннеля?
попробуйте последнюю версию: https://nightly.link/michaellukashov/Far-NetBox/workflows/release/main?preview
