Forums

Hallo,

 

ich überwache meine Hardware zuhause mit Hilfe von PRTG, unter anderem per ssh (Speicherinfo/Last etc). Das funktionierte bis gestern auch gut, ich habe dann ein Update von PRTG gemacht und erhalte nun bei beiden Receivern, wenn ich die Sensoren abfrage:

Failed to connect. Please check the SSH log of the target device or try the Compatibility Mode of the sensor's SSH engine and consider updating the target system's operating system. Reason: ssh_connect failed (-1)kex error : no match for method server host key algo: server [ecdsa-sha2-nistp521], client [ssh-rsa]

Was ich daraus lese: PRTG unterstützt das (unsichere) ssh-rsa nicht mehr, beide Receiver sprechen aber ausschließlich dieses Protokoll.

Kann man dem openssh auf den Receivern beibringen, eins der unterstützen Protokolle (ecdsa-sha2-nistp521) zu verwenden?

 

Danke vielmals

 

61 Leute haben gelesen und keiner weiß was?

Ich bin etwas erstaunt...

no match for method server host key algo: server [ecdsa-sha2-nistp521], client [ssh-rsa]

Ihr SSH-Schlüssel verwendet einen Verschlüsselungsalgorithmus, der von OpenSSH nicht mehr unterstützt wird.

 

(google translate)

Das ist mir klar, hab ich ja auch beschrieben...

OpenPli nutzt ssh-RSA. Das wird von der PRTG-Software aus Sicherheitsgründen nicht mehr unterstützt. Wie bringt man OpenPli ecdsa-sha2-nistp521 bei?

Ist es nicht umgekehrt? PRTG ist der Client und OpenPLi ist der Server? Dann liegt der Fehler halt bei der PRTG Configuration? Dies weil Dropbear (der OpenPLi ssh Server) bereits mit ein ecdsa-sha2-nistp521 Host Key dreht.

Da bin ich mir auch nicht ganz im klaren...nach PRTG-Update funktionieren beide Receiver nicht mehr mit ssh-Abfragen, meine restliche Hardware (u.a. Raspberries) hat keine Probleme...

Das ist komisch... Hier passiert dies:

$ ssh -v raspberrypi 2>&1 | grep 'Server host key'
debug1: Server host key: ecdsa-sha2-nistp256 SHA256:xxxxxxxxxx

$ ssh -v vuuno4kse 2>&1 | grep 'Server host key'
debug1: Server host key: ecdsa-sha2-nistp521 SHA256:xxxxxxxxxx

Vielleicht unterstützt PRTG nach dem Update irgendwie kein ecdsa-sha2-nistp521 mehr? Daher dachte ich mir das es vielleicht ein Konfigurationsmangel sein könnte.
Veranderd door scriptmelvin, 14 maart 2022 - 22:50

Das hab ich auch...

ssh -v raspberrypi 2>&1 | grep 'Server host key'
debug1: Server host key: ecdsa-sha2-nistp256

Damit gibts bei PRTG keine Probleme. Aber:

ssh -v mutant 2>&1 | grep 'Server host key'
debug1: Server host key: ecdsa-sha2-nistp521

ssh -v osmini 2>&1 | grep 'Server host key'
debug1: Server host key: ecdsa-sha2-nistp521

funktioniert mit PRTG nicht mehr
Bin etwas ratlos. Danke für eure Mithilfe...

 

VG

Ich finde auch nix über ecdsa-sha2-nistp521 auf der PRTG Webseite...

 

Du könntest noch selber ein Host Key erstellen. Ich hab das nicht selber versucht, also: ACHTUNG, wenn das nicht klappt und du kommst nicht mehr in die Box mit ssh dann muß die Box neu geflasht werden!

 

Auf der Box:

dropbearkey -t ecdsa -f /etc/dropbear/dropbear_rsa_host_key && chmod 600 /etc/dropbear/dropbear_rsa_host_key && reboot

Das erstellt ein ecdsa-sha2-nistp256 Host Key und startet die Box neu.

Und nach jedem Box Flash muß man das wieder machen (am besten nur einmal machen und der neue Host Key irgendwo speichern) , und PRTG wird warscheinlich meckern das sich der Host Key der Box geändert hat.

Veranderd door scriptmelvin, 14 maart 2022 - 23:54

ACHTUNG, wenn das nicht klappt und du kommst nicht mehr in die Box mit ssh dann muß die Box neu geflasht werden!

Du kannst natürlich auch der originale Host Key herunterladen per FTP, und zurücksetzen (mit Permissionen 600) wenns nicht klappt. Dann kein Neuflash benötigt.

Danke für deine Hilfe. Ich hab die fraglichen Sensoren erstmal runtergeschmissen, vielleicht kriegts PRTG mal irgendwann mit einem Update hin. Mein Leben hängt da aber nicht dran...

 

VG

Thanks for the pointer, you can work around this PRTG limitation (PRTG only supports RSA or ED25519) as follows by using a RSA key instead of an ECDSA key (default).

Note that using an RSA-key is obsolete and may be insecure.

It's set to be fixed in a future PRTG update.

mv -f /etc/dropbear/dropbear_rsa_host_key /etc/dropbear/dropbear_rsa_host_key.bak
dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key
chmod 600 /etc/dropbear/dropbear_rsa_host_key
/etc/init.d/dropbear restart