IBM Support

OpenSSHまたはAIXのアップグレード後、SSH接続が失敗する場合の対応方法

Flashes (Alerts)


Abstract

OpenSSHあるいはAIX TLをアップグレードすると、SSH接続に失敗する場合があります。

Content

1. 対象のシステム

AIX 7.1 TL5以上、かつOpenSSH(ssh, scp, sftp)を使用しているシステム

同梱OpenSSHレベルとAIXレベルの対照表

OpenSSH  Level AIX/VIOS Level
openssh.base.server.7.1.102.1100 7200-02
7100-05
6100-09-10
VIOS 2.2.6.0
VIOS 2.2.5.40
VIOS 2.2.4.60
openssh.base.server.6.0.0.6201 7200-01
7200-00
7100-04
6100-09-06
VIOS 2.2.5.30
VIOS 2.2.4.50
openssh.base.server.6.0.0.6103 7100-03
6100-09
openssh.base.server.6.0.0.6100 7100-02
6100-08
openssh.base.server.5.8.0.6101 7100-01
6100-07
openssh.base.server.5.4.0.6100 6100-06
openssh.base.server.5.2.0.5301 6100-05


2.対象ソフトウェア

OpenSSH 7.x と OpenSSH 6.x の組み合わせ


3.発生する現象

OpenSSHあるいはAIX TLをアップグレードすると、SSH接続に失敗する場合があります。

SSHサーバー(sshd)側の問題に関しては下記のtechnoteに詳しく記載されています。

IBM Various ssh problems after upgrading to OpenSSH 7.x
https://www-01.ibm.com/support/docview.wss?uid=isg3T1025737

SSHクライアント側でも同様にSSH接続の問題が報告されており、例えば以下のようなエラーメッセージが出力されます。

DH_GEX group out of range: 2048 !< 1024 !< 8192
Connection closed

あるいは

ssh_dispatch_run fatal: Connection to xxx.xxx.xxx.xxx port 22:
DH GEX group out of range Connection closed


4.原因

OpenSSH 7.x と OpenSSH 6.x の間で、暗号化アルゴリズムのデフォルト設定あるいは仕様が変更されているため。

明示的なOpenSSHのバージョンアップを行わない場合でも、AIX 7.1 TL5以降にAIXをアップグレードした場合にOpenSSHが6.0.0.6204(6.0p1)から7.1.102.1100(7.1p1)へアップグレードされるため「AIXのアップグレード後SSH接続ができなくなった」という問題として認識されることがあります。

- AIX 7.1 TL4: openssh.base 6.0.0.6201 (6.0p1)
- AIX 7.1 TL5: openssh.base 7.1.102.1100 (7.1p1)

OpenSSH 7.1.102.1100 のReadmeより抜粋:

*) Increase the minimum modulus size supported for diffie-hellman-group-exchange to 2048 bits.


5.回避策

  • SSHサーバーが OpenSSH 7.xの場合
    SSHサーバーの /etc/ssh/sshd_config に "KexAlgorithms +diffie-hellman-group1-sha1"の設定を行い、sshdを再起動します。

    ************************************************************************************
    2019/08追記
    この回避方法では、障害により sshd が起動できない可能性があります。
    その場合、/etc/ssh/sshd_config の KexAlgorithms +diffie-hellman-group1-sha1 を以下に置き換えてください。

    KexAlgorithms diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha1,diffie-hellman-group-exchange-sha256,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,curve25519-sha256,curve25519-sha256@libssh.org,gss-group1-sha1-,gss-group14-sha1-,gss-gex-sha1-

    ※ 間に改行を含めず、1行で設定してください。
    ************************************************************************************

  • SSHクライアントが OpenSSH 7.xの場合
    SSHクライアントにおいて、コマンドラインオプションに"-oKexAlgorithms=diffie-hellman-group1-sha1"を設定するか、/etc/ssh/ssh_config に "KexAlgorithms diffie-hellman-group1-sha1" の設定を行います。


以上

[{"Business Unit":{"code":"BU058","label":"IBM Infrastructure w\/TPS"},"Product":{"code":"SWG10","label":"AIX"},"Component":"AIX;SSH;Power Systems","Platform":[{"code":"PF002","label":"AIX"}],"Version":"AIX 7.1;AIX 7.2","Edition":"","Line of Business":{"code":"LOB08","label":"Cognitive Systems"}}]

Document Information

Modified date:
23 August 2019

UID

ibm10731241