请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 908|回复: 0

【原创故障案例分享】N9K升级后无法SSH,报错“no matching cipher found”

[复制链接]
发表于 2018-4-13 08:25:16 | 显示全部楼层 |阅读模式
去年有个项目有两台Nexus 9000交换机,设备比较简单,项目需要升级,然后升级软件版本为7.0(3),升级完用SSH 登录死活登录不上去,一直报错“no matching cipher found” ,奇怪了,换了两台电脑还是故障依旧,于是乎只能谷歌了,一堆搜索之后找到一篇解决方案:


[url=]问题[/url]    升级IOS到7.0(3)I2(1)后,无法对SSH到连结9000并且收到此错误:
    no matching cipher found: client aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se server aes128-ctr,aes192-ctr,aes256-ctr

问题说明- SSH服务器CBC模式密码器已启用漏洞(SSH服务器CBC启用的模式密码器)
    SSH服务器配置支持密码链块(CBC)加密。这也许允许攻击者从密文恢复明文消息。注意此插件只检查SSH服务器的选项,并且不检查易受攻击软件版本。
    推荐的解决方案-禁用CBC模式密码器加密和Enable计数器(CTR)模式或者Galois/计数器模式(GCM)密码器模式加密


临时选项1. SSH密码器模式弱命令(与NXOS 7.0(3)I4(6)或以上的联机)   
  • 介绍通过Cisco Bug ID CSCvc71792 -请实现瘤允许弱密码器aes128-cbc,aes192-cbc,aes256-cbc。
  • 添加这些弱密码器的支持- aes128-cbc、aes192-cbc和aes256-cbc。
  • 仍有3DES CBC密码器的没有支持
    ! baseline: only strong Ciphers aes128-ctr,aes192-ctr,aes256-ctr allowed
9k# conf t
Enter configuration commands, one per line. End with CNTL/Z.
9k(config)# feature bash
9k(config)# run bash sudo grep -i cipher /isan/etc/dcos_sshd_config
#secure ciphers and MACs
#CSCun41202 : Disable weaker Ciphers and MACs
Ciphers aes128-ctr,aes192-ctr,aes256-ctr <<----- only strong ciphers

! enable the weak aes-cbc ciphers with NXOS command
! Note that weak cipher 3des-cbc is still disabled.

9k# conf t
Enter configuration commands, one per line. End with CNTL/Z.
9k(config)# ssh cipher-mode weak
9k(config)# end

!! verification:
9k# run bash sudo grep -i cipher /isan/etc/dcos_sshd_config
#secure ciphers and MACs
#CSCun41202 : Disable weaker Ciphers and MACs
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc  <<---

! rollback: use the 'no' form of the command
9k# conf t
Enter configuration commands, one per line. End with CNTL/Z.
9k(config)# no ssh cipher-mode weak
9k(config)# end


数据中心的设备不是接触很多,就遇到过这一个坑,分享给大家看看有没有作用!

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (6 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-6-21 06:42 , Processed in 0.079384 second(s), 32 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表