Différences

Ci-dessous, les différences entre deux révisions de la page.

--- linux:ssh [06-10-2025 20:45] – [Clé DSA non supportée] edmc73
+++ linux:ssh [06-03-2026 09:19] (Version actuelle) – [2. Application de la politique] edmc73
@@ Ligne 522: / Ligne 522: @@
   PubkeyAcceptedAlgorithms=+ssh-rsa
 </code>
+===== Connexion SSH vers vieux serveurs (OpenSSL 3.5+) =====
+L'erreur ''ssh_dispatch_run_fatal: error in libcrypto'' survient car les distributions récentes (Fedora/RHEL) bloquent les signatures SHA-1 au niveau d'OpenSSL, même si SSH les autorise.
+==== 1. Création du module de politique crypto ====
+Créer un fichier pour autoriser spécifiquement les signatures SHA-1 dans la bibliothèque crypto :
+Fichier : ''/etc/crypto-policies/policies/modules/SHA1-SSL-SIG.pmod''
+Contenu :
+<file>
+#Unblock openssl sha1 signatures for ssh
+__openssl_block_sha1_signatures = 0
+</file>
+==== 2. Application de la politique ====
+Appliquer la modification sans affaiblir tout le système (maintien du mode DEFAULT) :
+Commande :
+  sudo update-crypto-policies --set DEFAULT:SHA1-SSL-SIG
+Vérification (doit afficher ''DEFAULT:SHA1-SSL-SIG'') :
+  update-crypto-policies --show
+==== 3. Configuration Client SSH ====
+Ajouter l'exception pour l'IP du serveur dans ''~/.ssh/config'' :
+<file>
+Host 192.168.0.3
+    HostName 192.168.0.3
+    HostKeyAlgorithms +ssh-rsa
+    PubkeyAcceptedAlgorithms +ssh-rsa
+</file>
+Note : Cette méthode est plus sécurisée que le mode ''LEGACY'' global car elle cible précisément le verrou OpenSSL.