телефон CP-7942 доступ по ssh

**Tarrok** » 10 апр 2024, 14:01

Всем привет!
Получалось у кого подключиться к данному цискофону?
Через puttygen делал файл-ключ, циска его видела на тфтп, в сессии путти тоже привязывал. В убунте тоже пробовал генерить. В конфигурационнике логин и пароль делал debug/debug.
https://www.voip-info.org/ssh-with-putt ... -ip-phone/
Делал по этой инструкции. Пишет что тел разорвал соединение.
Прошивка sip 8.5.4
Куда копать?

**ded** » 10 апр 2024, 14:42

Зачем туда хотите попасть? Там всё очень сложно. Посмотреть журналы можно и через вэб интерфейс.
Способ с генерацией rsa key - сложный, можно попасть по username / password
Для этого телефон должен получить по TFTP какой-то конфигурационный файл, который он посчитает +/- правильным, иначе - отвергнет.
В нём надо прописать разрешение на SSH enabled
<sshAccess>1</sshAccess>
вэб доступ тоже не помешает
<webAccess>1</webAccess>
и username / password
<sshUserId>
<sshPassword>

Далее - так:
https://shaijal-allipra.blogspot.com/20 ... login.html

**Tarrok** » 10 апр 2024, 14:55

Приветствую, доступ хочу чтобы грузить удаленно.
<webAccess>1</webAccess> пробовал, работает с точностью до наоборот.
<sshAccess>1</sshAccess> файл authorized_keys запрашивает в обоих случаях

**ded** » 10 апр 2024, 17:04

Наверное всё-же перегружать удалённо, а не грузить?
Если телефон подключен по РоЕ, то проще упралять перезагрузкой через порт коммутатора -
shut
no shut
Если же он с блоком питания - осваивать посылку SIP Notify для перезагрузки.
файл authorized_keys tпроверяется на телефоне, может пользователь, который логинится будет валидироваться по ключа rsa?

Логиньтесь с опцией вербозности - будет виднее
ssh cisco@192.168.12.13 -vv

Возможно проблема в старых алгоритмах хэширования и слабых шифрах, которые отвергаются современными ОС:

debug2: peer server KEXINIT proposal
debug2: KEX algorithms: diffie-hellman-group1-sha1
debug2: host key algorithms: ssh-rsa
debug2: ciphers ctos: aes128-cbc
debug2: ciphers stoc: aes128-cbc
debug2: MACs ctos: hmac-sha1,hmac-md5
debug2: MACs stoc: hmac-sha1,hmac-md5

С таким опциями тоже можно логиниться по SSH, только надо добавить sha1 и md5 в Key Exchange на компьютере.
Логин двухступенчатый, после username & password предложит опять Username:

Login to the first username and password prompt with these admin defined credentials.

You will then be greeted with ANOTHER username and password prompt. At this point you have two options:
Option 1 - Default Linux Shell
Username: default

Password: cisco

The default Linux shell lets you browse the phone's file system. A VERY useful command would be "tail -f /var/log/messages"

Option 2 - Debug Shell
Username: debug

Password: debug

**Tarrok** » 11 апр 2024, 10:12

Спасибо, в этом я к сожалению не силен, буду разбираться. Но дебаги у меня такие есть в листинге

[Показать] Спойлер:

root@ubuntu2:~# ssh cisco@192.168.192.56 -vv
OpenSSH_8.2p1 Ubuntu-4ubuntu0.11, OpenSSL 1.1.1f 31 Mar 2020
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: include /etc/ssh/ssh_config.d/*.conf matched no files
debug1: /etc/ssh/ssh_config line 21: Applying options for *
debug2: resolve_canonicalize: hostname 192.168.192.56 is address
debug2: ssh_connect_direct
debug1: Connecting to 192.168.192.56 [192.168.192.56] port 22.
debug1: Connection established.
debug1: identity file /root/.ssh/id_rsa type -1
debug1: identity file /root/.ssh/id_rsa-cert type -1
debug1: identity file /root/.ssh/id_dsa type -1
debug1: identity file /root/.ssh/id_dsa-cert type -1
debug1: identity file /root/.ssh/id_ecdsa type -1
debug1: identity file /root/.ssh/id_ecdsa-cert type -1
debug1: identity file /root/.ssh/id_ecdsa_sk type -1
debug1: identity file /root/.ssh/id_ecdsa_sk-cert type -1
debug1: identity file /root/.ssh/id_ed25519 type -1
debug1: identity file /root/.ssh/id_ed25519-cert type -1
debug1: identity file /root/.ssh/id_ed25519_sk type -1
debug1: identity file /root/.ssh/id_ed25519_sk-cert type -1
debug1: identity file /root/.ssh/id_xmss type -1
debug1: identity file /root/.ssh/id_xmss-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.11
debug1: Remote protocol version 2.0, remote software version 1.00
debug1: no match: 1.00
debug2: fd 3 setting O_NONBLOCK
debug1: Authenticating to 192.168.192.56:22 as 'cisco'
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug2: local client KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group1-sha1,ext-info-c,kex-strict-c-v00@openssh.com
debug2: host key algorithms: ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,ssh-ed25519-cert-v01@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,sk-ecdsa-sha2-nistp256@openssh.com,ssh-ed25519,sk-ssh-ed25519@openssh.com,rsa-sha2-512,rsa-sha2-256,ssh-rsa
debug2: ciphers ctos: aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc
debug2: ciphers stoc: aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: compression ctos: none,zlib@openssh.com,zlib
debug2: compression stoc: none,zlib@openssh.com,zlib
debug2: languages ctos:
debug2: languages stoc:
debug2: first_kex_follows 0
debug2: reserved 0
debug2: peer server KEXINIT proposal
debug2: KEX algorithms: diffie-hellman-group1-sha1
debug2: host key algorithms: ssh-rsa
debug2: ciphers ctos: aes128-cbc
debug2: ciphers stoc: aes128-cbc
debug2: MACs ctos: hmac-sha1,hmac-md5
debug2: MACs stoc: hmac-sha1,hmac-md5
debug2: compression ctos: none
debug2: compression stoc: none
debug2: languages ctos:
debug2: languages stoc:
debug2: first_kex_follows 0
debug2: reserved 0
debug1: kex: algorithm: diffie-hellman-group1-sha1
debug1: kex: host key algorithm: ssh-rsa
debug1: kex: server->client cipher: aes128-cbc MAC: hmac-sha1 compression: none
debug1: kex: client->server cipher: aes128-cbc MAC: hmac-sha1 compression: none
debug2: bits set: 513/1024
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
Connection closed by 192.168.192.56 port 22

**ded** » 11 апр 2024, 11:29

Писал же - там всё очень сложно. Попасть сложно, внутри - как бы мини-Линукс, но тоже сложно.

По дебагу:

debug2: peer server KEXINIT proposal - предложение по Key Exchange
debug2: KEX algorithms: diffie-hellman-group1-sha1 - алгоритм обмена ключей с устаревшим хэшированием sha1
debug2: host key algorithms: ssh-rsa - хост будет зашифровывать и расшифровывать сессию несимметричными ключами rsa
debug2: ciphers ctos: aes128-cbc - устаревший, но годный шифр aes128-cbc с длиной ключа 128 бит для client-to-server (ctos)
debug2: ciphers stoc: aes128-cbc - устаревший, но годный шифр aes128-cbc с длиной ключа 128 бит для server-to-client (stoc)
.......
debug1: kex: server->client cipher: aes128-cbc MAC: hmac-sha1 compression: none
debug1: kex: client->server cipher: aes128-cbc MAC: hmac-sha1 compression: none
Использование сигнатур hmac-sha1 (Hash-Based Message Authentication Code) упразднили 3 года назад
https://community.boomi.com/s/article/N ... ion-Update
debug2: bits set: 513/1024
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY - вот тут и ответ: ваш комп ждёт ответ по обмену ключей (КЕХ) используя
Elliptic-curve Diffie–Hellman (ECDH) -

a key agreement protocol that allows two parties, each having an elliptic-curve public–private key pair, to establish a shared secret over an insecure channel. This shared secret may be directly used as a key, or to derive another key.

Из относительно старого Линукса этот кусок был бы таким: -
debug2: mac_setup: found hmac-md5
debug1: kex: server->client aes128-cbc hmac-md5 none
debug2: mac_setup: found hmac-md5
debug1: kex: client->server aes128-cbc hmac-md5 none
debug2: dh_gen_key: priv key bits set: 112/256
debug2: bits set: 517/1024
debug1: sending SSH2_MSG_KEXDH_INIT
debug1: expecting SSH2_MSG_KEXDH_REPLY

и после пароля -
Welcome to MontaVista(R) Linux(R) Professional Edition Blackfoot (0702518).

**Tarrok** » 11 апр 2024, 16:20

Решилось использованием путти 0.6 от 2007 года
Наверняка есть более поздние рабочие версии

**ded** » 11 апр 2024, 17:09

Что ж, давайте зачётку.

**Tarrok** » 11 апр 2024, 17:36

Спасибо за помощь)

телефон CP-7942 доступ по ssh

телефон CP-7942 доступ по ssh

Re: телефон CP-7942 доступ по ssh

Re: телефон CP-7942 доступ по ssh

Re: телефон CP-7942 доступ по ssh

Re: телефон CP-7942 доступ по ssh

Re: телефон CP-7942 доступ по ssh

Re: телефон CP-7942 доступ по ssh

Re: телефон CP-7942 доступ по ssh

Re: телефон CP-7942 доступ по ssh

Кто сейчас на форуме