Secure FTP geht nicht mehr

German support forum

Moderators: white, Hacker, Stefan2

User avatar
Dalai
Power Member
Power Member
Posts: 9364
Joined: 2005-01-28, 22:17 UTC
Location: Meiningen (Südthüringen)

Re: Secure FTP geht nicht mehr

Post by *Dalai »

holde wrote: 2021-06-27, 19:03 UTCDie Beta4 ändert an dem Verhalten leider nichts.
Und wie ist es mit Beta5? Siehe https://www.ghisler.ch/board/viewtopic.php?p=403255#p403255

Grüße
Dalai
#101164 Personal licence
Ryzen 5 2600, 16 GiB RAM, ASUS Prime X370-A, Win7 x64

Plugins: Services2, Startups, CertificateInfo, SignatureInfo, LineBreakInfo - Download-Mirror
holde
Junior Member
Junior Member
Posts: 88
Joined: 2013-09-23, 11:31 UTC

Re: Secure FTP geht nicht mehr

Post by *holde »

Danke!

Diese Beta funktioniert. Das passiert, wenn man über Google hier in einem älteren Thread landet.
User avatar
ghisler(Author)
Site Admin
Site Admin
Posts: 48021
Joined: 2003-02-04, 09:46 UTC
Location: Switzerland
Contact:

Re: Secure FTP geht nicht mehr

Post by *ghisler(Author) »

Ja, bitte die Beta 5 verwenden - hier nochmals der direkte Link für alle mit diesem Problem:
https://www.totalcommander.ch/beta/sftpplug280b5.zip
Author of Total Commander
https://www.ghisler.com
hpmuetzle
Junior Member
Junior Member
Posts: 4
Joined: 2022-01-21, 15:09 UTC

Re: Secure FTP geht nicht mehr

Post by *hpmuetzle »

Hallo allerseits,
wir haben inzwischen auch Probleme mit dem Sftp.
- Fehler: Konnte SSH-Sitzung nicht starten: Unable to exchange encryption keys
- Bei Verwendung des sftp-Plugins 2.90 kommt eben dieser Fehler
- Unser Zugang zum Linux-Rechner geht über eine Privileged Access Management (PAM) - Lösung
- Dabei wird das Produkt Wallix-Bastion von der Firma WALLIX eingesetzt.
- Über Wallix-Bastion (mittels nmap Befehl ermittelt) bietet unser Linux-Rechner eine von libssh2.org unterstützte Methode für den Key Exchange an.
- Ebenfalls werden einzelne Methoden wie in https://www.libssh2.org/ aufgeführt zu Hostkey Types, Ciphers, Compression Schemes, Mac Hashes unterstützt.
- Das andere, nicht mehr gewartete Plugin wfx_sftp_1_4_67_4, das auf Putty-Einstellungen basiert, aber leider nicht mehr gewartet wird, funktioniert soweit, dass eine Verbindung aufgebaut wird. Leider wird die Verbindung nach wenigen Minuten (Timeout/Ruhephase) getrennt.
- Mit diesem Umstand, wird der Nutzen des genialen Total Commander's im Team sehr stark reduziert, weshalb wir zu einem anderen Tool wechseln müssten.

- Hätte jemand einen Lösungsvorschlag?
User avatar
ghisler(Author)
Site Admin
Site Admin
Posts: 48021
Joined: 2003-02-04, 09:46 UTC
Location: Switzerland
Contact:

Re: Secure FTP geht nicht mehr

Post by *ghisler(Author) »

- Über Wallix-Bastion (mittels nmap Befehl ermittelt) bietet unser Linux-Rechner eine von libssh2.org unterstützte Methode für den Key Exchange an.
Welche Methoden werden laut nmap unterstützt? Wenn es nicht am key exchange liegt, dann an nicht unterstützter Verschlüsselung (stream cipher) oder Hashfunktion.
Author of Total Commander
https://www.ghisler.com
hpmuetzle
Junior Member
Junior Member
Posts: 4
Joined: 2022-01-21, 15:09 UTC

Re: Secure FTP geht nicht mehr

Post by *hpmuetzle »

Danke für die schnelle Rückmeldung!
An den unterstützten Methoden für Verschlüsselung und Hashfunktion wird es leider nicht liegen, da es eine Schnittmenge zu libssh2 gibt.
Hier sind die von Wallix-Bastion unterstützten Methoden:
| ssh2-enum-algos:
| kex_algorithms: (3)
| - curve25519-sha256
| - curve25519-sha256@libssh.org
| - diffie-hellman-group-exchange-sha256
| server_host_key_algorithms: (5)
| - ssh-ed25519
| - ecdsa-sha2-nistp256
| - rsa-sha2-512
| - rsa-sha2-256
| - ssh-rsa
| encryption_algorithms: (4)
| - aes256-ctr
| - aes192-ctr
| - aes128-ctr
| - chacha20-poly1305@openssh.com
| mac_algorithms: (2)
| - hmac-sha2-256
| - hmac-sha2-512
| compression_algorithms: (1)
|_ - none
User avatar
ghisler(Author)
Site Admin
Site Admin
Posts: 48021
Joined: 2003-02-04, 09:46 UTC
Location: Switzerland
Contact:

Re: Secure FTP geht nicht mehr

Post by *ghisler(Author) »

Mal sehen, von den genannten unterstützt LIBSSH2 die folgenden:
kex_algorithms:
diffie-hellman-group-exchange-sha256
server_host_key_algorithms:
ssh_ed25519,
ecdsa-sha2-nistp256,
ssh-rsa
encryption_algorithms:
aes256_ctr
aes192_ctr
aes128_ctr
mac_algorithms:
hmac-sha2-256
hmac-sha2-512

Es müsste also gehen! Ich habe aber auch schon erlebt (bei Strato), dass nmap zwar Methoden als unterstützt meldet, der Hostkey für eine der Methoden dann aber auf dem Server fehlte(!) - so ging es zwar, wenn man eine der angeblich unterstützten Methoden verwendete, nicht aber eine der anderen.

Wenn nun das alte, auf Putty basierende Plugin z.B. ecdsa-sha2-nistp256 verwendet, weil es kein ssh_ed25519 unterstützt, dann gelingt der Login - wenn mein Plugin nun die bevorzugte Methode ssh_ed25519 verwendet, und der Hostkey dazu auf dem Server fehlt, dann gelingt der Login nicht.

Sie können versuchen, ssh_ed25519 auf dem Server zu deaktivieren, um zu sehen ob der Login dann geht. Falls ja, dann fehlt entweder der Hostkey im Format ssh_ed25519, oder die Methode ist nicht 100% richtig implementiert.
Author of Total Commander
https://www.ghisler.com
hpmuetzle
Junior Member
Junior Member
Posts: 4
Joined: 2022-01-21, 15:09 UTC

Re: Secure FTP geht nicht mehr

Post by *hpmuetzle »

Ich werde diese Info an den Systembetreuer weitergeben. Melde mich später wieder.
Eris
Junior Member
Junior Member
Posts: 4
Joined: 2022-05-29, 20:59 UTC

Re: Secure FTP geht nicht mehr

Post by *Eris »

Hi,

ich hab das selbe Problem. Ich hab einen neu installation von sftpgo durchgeführt mit standard Werten dabei werden folgende KEX (Key Exchange) Algorithmen verwendet:
curve25519-sha256, curve25519-sha256@libssh.org, ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp521, diffie-hellman-group14-sha256

Diese passen nicht mit Version 2.90 des plugins zusammen lt logfile bietet Total Command nur folgende kex an:
diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 diffie-hellman-group1-sha1

Das endet in folgendem Logeintrag:

Code: Select all

{"level":"debug","time":"2022-05-29T23:03:41.262","sender":"sftpd","message":"failed to accept an incoming connection: ssh: no common algorithm for key exchange; client offered: [diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 diffie-hellman-group1-sha1], server offered: [curve25519-sha256 curve25519-sha256@libssh.org ecdh-sha2-nistp256 ecdh-sha2-nistp384 ecdh-sha2-nistp521 diffie-hellman-group14-sha256 ext-info-s]"}
Da ich auch den Server kontrolliere kann ich zb "diffie-hellman-group14-sha1" verwenden allerdings fühlt sich sha1 nicht mehr state of the art an.

sg
User avatar
ghisler(Author)
Site Admin
Site Admin
Posts: 48021
Joined: 2003-02-04, 09:46 UTC
Location: Switzerland
Contact:

Re: Secure FTP geht nicht mehr

Post by *ghisler(Author) »

Bitte aktivieren sie auf dem Server die folgende Methode:
diffie-hellman-group-exchange-sha256

Diese ist sicher, im Gegensatz zu den älteren Methoden mit SHA1.
Es wäre schön, wenn das Plugin z.B. auch curve25519-sha256 könnte, aber die verwendete SSH-Library kann leider nur die genannten 4 Methoden. Mir fehlt das Wissen, curve25519-sha256 selbst zu implementieren. Dazu bräuchte ich ein Dokument, welches genau beschreibt, welche Parameter mit welcher Länge verwendet werden.
Author of Total Commander
https://www.ghisler.com
Eris
Junior Member
Junior Member
Posts: 4
Joined: 2022-05-29, 20:59 UTC

Re: Secure FTP geht nicht mehr

Post by *Eris »

Das ist in diesem Fall leider nicht möglich da der Server diesen nicht untersützt (Ich habe ein Issue eröffnet).

Wenn ich es richtig sehe verwendet das sftp plugin des total commands die libssh2 library in der version 1.8.1, bei einem upgrade auf 1.10.0 würden mehr (und vorallem aktuelle) algorithmen unterstüzt.
https://libssh2.org/changes.html#1.10.0

Es sind zwar leider keine mit elliptic curves dabei aber "diffie-hellman-group14-sha256". Wäre ein update auf diese Version möglich?
User avatar
ghisler(Author)
Site Admin
Site Admin
Posts: 48021
Joined: 2003-02-04, 09:46 UTC
Location: Switzerland
Contact:

Re: Secure FTP geht nicht mehr

Post by *ghisler(Author) »

Danke für den Hinweis, immerhin scheinen neu die folgenden Methoden untersützt zu werden:
diffie-hellman-group14-sha256, diffie-hellman-group16-sha512, diffie-hellman-group18-sha512 key exchanges

Damit sollte es auch mit Ihrem Server gehen. Ich werde mir das mal ansehen.
Author of Total Commander
https://www.ghisler.com
Eris
Junior Member
Junior Member
Posts: 4
Joined: 2022-05-29, 20:59 UTC

Re: Secure FTP geht nicht mehr

Post by *Eris »

Gibt es eine Chance auf eine Berichtigung wenn es eine neue Version des Plugins gibt?

danke
User avatar
ghisler(Author)
Site Admin
Site Admin
Posts: 48021
Joined: 2003-02-04, 09:46 UTC
Location: Switzerland
Contact:

Re: Secure FTP geht nicht mehr

Post by *ghisler(Author) »

Ich arbeite daran. Mit dem letzten Release 1.10 der libssh2 konnte ich diffie-hellman-group14-sha256, diffie-hellman-group16-sha512, diffie-hellman-group18-sha512 zum arbeiten bringen. "curve25519-sha256" geht leider nur mit dem OpenSSL-Backend. Ich habe versucht, es selber für die Windows-Library (wincng) zu implementieren, aber bekomme immer falsche Werte.

Ausserdem gibt es nun ein neues Problem mit rsa-Hostkeys:
https://www.ghisler.ch/board/viewtopic.php?t=76886
Author of Total Commander
https://www.ghisler.com
User avatar
ghisler(Author)
Site Admin
Site Admin
Posts: 48021
Joined: 2003-02-04, 09:46 UTC
Location: Switzerland
Contact:

Re: Secure FTP geht nicht mehr

Post by *ghisler(Author) »

Hier eine neue Version des Plugins, welches diffie-hellman-group14-sha256, diffie-hellman-group16-sha512 und diffie-hellman-group18-sha512 unterstützt:
https://www.totalcommander.ch/beta/sftpplug300b1.zip
Hinweis: Das Plugin selbst ist unverändert im Vergleich zur Version 2.90, nur die libssh2.dll ist neu!
Hier die von mir modifizierten Quellcodes:
https://www.totalcommander.ch/beta/sftpplug300b1_libssh2-1.11.0_pre.zip

Bitte ausprobieren!
Author of Total Commander
https://www.ghisler.com
Post Reply