System (系统) – Eternal Center

步骤一：确定 CRYPTO_POLICY 参数没有生效

1.1 确定 /etc/ssh/sshd_config 文件

# vim /etc/ssh/sshd_config

确保部分内容如下：

......
Include /etc/ssh/sshd_config.d/*.conf
......
Include /usr/etc/ssh/sshd_config.d/*.conf
......

1.2 确定 /usr/etc/ssh/sshd_config.d/.conf 文件或者 /etc/ssh/sshd_config.d/.conf 文件

# vim /etc/ssh/sshd_config.d/*.conf

或者：

# vim /usr/etc/ssh/sshd_config.d/*.conf

确保部分内容如下：

......
Include /etc/crypto-policies/back-ends/opensshserver.config
......

步骤二：在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中确认要使用的 Ciphers、MACs 和 KexAlgorithm 参数

2.1 备份 /etc/crypto-policies/back-ends/opensshserver.config 配置文件

# cp /etc/crypto-policies/back-ends/opensshserver.config /etc/crypto-policies/back-ends/opensshserver.config.backup

2.2 修改 /etc/crypto-policies/back-ends/opensshserver.config 配置文件

# vim /etc/crypto-policies/back-ends/opensshserver.config

添加需要使用的 SSH 算法（algorithms）和加密方式（ciphers）：

（内容略）

（注意：如果需要使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm），已包含在其中了则可以不用添加）

2.3 显示目前正在被使用的 SSH 算法（algorithms）和加密方式（ciphers）

# cat /etc/crypto-policies/back-ends/opensshserver.config
Ciphers aes256-gcm@openssh.com,aes256-ctr,aes128-gcm@openssh.com,aes128-ctr
MACs hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,hmac-sha2-512
GSSAPIKexAlgorithms gss-nistp256-sha256-,gss-group14-sha256-,gss-group16-sha512-
KexAlgorithms ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512
HostKeyAlgorithms ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,sk-ssh-ed25519@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com
PubkeyAcceptedAlgorithms ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,sk-ssh-ed25519@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com
HostbasedAcceptedAlgorithms ecdsa-sha2-nistp256,ecdsa-sha2-nistp256-cert-v01@openssh.com,sk-ecdsa-sha2-nistp256@openssh.com,sk-ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,sk-ssh-ed25519@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com
CASignatureAlgorithms ecdsa-sha2-nistp256,sk-ecdsa-sha2-nistp256@openssh.com,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519,sk-ssh-ed25519@openssh.com,rsa-sha2-256,rsa-sha2-512
RequiredRSASize 2048

（补充：这里以显示 openSUSE & SLES 默认使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）为例）

步骤三：让在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中添加要使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）生效

# systemctl restart sshd

步骤四：测试 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

4.1 测试 SSH 加密方式（cipher）

4.1.1 测试某个 SSH 加密方式（cipher）

# ssh -vv -oCiphers=3des-cbc -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 3des-cbc SSH 加密方式（cipher）为例）

4.1.2 测试多个 SSH 加密方式（cipher）

# ssh -vv -oCiphers=3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 3des-cbc、aes128-cbc、aes192-cbc 和 aes256-cbc SSH 加密方式（cipher）为例）

4.2 测试 SSH 信息验证代码（message authentication code）

4.2.1 测试某个 SSH 信息验证代码（MESSAGE AUTHENTICATION CODE）

# ssh -vv -oMACs=hmac-md5 -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 hmac-md5 SSH 信息验证代码（message authentication code）为例）

4.2.2 测试多个 SSH 信息验证代码（MESSAGE AUTHENTICATION CODE）

# ssh -vv -oMACs=hmac-md5,hmac-md5-96,hmac-sha1,hmac-sha1-96,hmac-md5-etm@openssh.com,hmac-md5-96-etm@openssh.com -oPort=22 192.168.0.1

（补充：这里以测试 IP 地址是 192.168.0.1，端口号是 22，有没有启用 hmac-md5、hmac-md5-96、hmac-sha1、hmac-sha1-96、hmac-md5-etm@openssh.com 和 hmac-md5-96-etm@openssh.com SSH 信息验证代码（message authentication code）为例）

4.3 显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

4.3.1 使用 SSHD 命令显示所有在使用的加密方式（cipher）、信息验证代码（MESSAGE AUTHENTICATION CODE）

# sshd -T | egrep -i "ciphers|macs|kexalgorithms"

4.3.2 使用 NMAP 命令显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（MESSAGE AUTHENTICATION CODE）和算法（ALGORITHM）

# nmap --script ssh2-enum-algos -sV -p 22 127.0.0.1

（补充：这里以测试本地的 22 端口为例）

4.3.3 使用 NMAP 命令显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（MESSAGE AUTHENTICATION CODE）和算法（ALGORITHM）

# ssh -vvv 127.0.0.1

（补充：这里以测试本地的 22 端口为例）

报错命令

# zypper migration

报错代码

'The requested products 'SAP Applications Module 15 SP6 x86_64' are not activated on the system.' (422)

'/usr/lib/zypper/commands/zypper-migration' exited with status 1

（补充：从这里输出可以看出，本次缺失的软件库是 SAP Applications Module 15 SP6 x86_64）

解决方法

解决方法一：添加缺失的软件库（必须要有相关软件库的订阅才能使用此解决方法）

1.1 显示所有的软件库

# SUSEConnect --list-extensions

或者：

# SUSEConnect -l

（补充：如果此时有相关的软件库订阅的话，此命令就会显示添加相关软件库的方法）

1.2 添加相应的软件库

按照上一步显示的方法，添加相应的软件库

解决方法二：删除缺失的软件库

# zypper remove -y sle-module-sap-applications-release

（补充：这里以删除 sle-module-sap-applications-release 软件库为例）

Category: System (系统)

[排错] 解决 openSUSE & SLES 使用 zypper migration 命令时报错 “are not activated on the system”

报错命令

报错代码

解决方法

解决方法一：添加缺失的软件库（必须要有相关软件库的订阅才能使用此解决方法）

1.1 显示所有的软件库

1.2 添加相应的软件库

解决方法二：删除缺失的软件库

[内容] 两台 Linux MAC 地址冲突后的出现的现象（两台 Linux 系统在同 1 个二层交换机下使用相同的 MAC 地址）

现象一：ping 命令会卡住

现象二：SSH 远程登录后输入命令会卡住

现象三：SNMP 客户端失效

[步骤] SSL 证书公钥从 cer 格式到 pfx 格式的转换

正文：

步骤一：将 SSL 证书公钥从 cer 格式转换到 pem 格式

步骤二：将 SSL 证书公钥和私钥从 pem 格式转换成 pfx

参考文献：

[内容] Linux 设置环境变量的案例（添加命令路径）

内容一：临时设置命令路径

1.1 直接临时设置命令路径的方法

1.2 使用 export 命令临时设置命令路劲的方法

内容二：永久设置命令路径

2.1 在可以设置环境变量的文件里设置环境变量

2.2 让刚刚在文件里设置的环境变量生效

内容三：在 Linux 中其它可以添加命令路径的文件

步骤一：确定 CRYPTO_POLICY 参数没有生效

1.1 确定 /etc/ssh/sshd_config 文件

1.2 确定 /usr/etc/ssh/sshd_config.d/*.conf 文件或者 /etc/ssh/sshd_config.d/*.conf 文件

步骤二：在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中确认要使用的 Ciphers、MACs 和 KexAlgorithm 参数

2.1 备份 /etc/crypto-policies/back-ends/opensshserver.config 配置文件

2.2 修改 /etc/crypto-policies/back-ends/opensshserver.config 配置文件

2.3 显示目前正在被使用的 SSH 算法 （algorithms） 和加密方式 （ciphers）

步骤三：让在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中添加要使用的 SSH 加密方式 （cipher） 、信息验证代码 （message authentication code） 和算法 （algorithm） 生效

步骤四：测试 SSH 加密方式 （cipher） 、信息验证代码 （message authentication code） 和算法 （algorithm）

4.1 测试 SSH 加密方式 （cipher）

4.1.1 测试某个 SSH 加密方式 （cipher）

4.1.2 测试多个 SSH 加密方式 （cipher）

4.2 测试 SSH 信息验证代码 （message authentication code）

4.2.1 测试某个 SSH 信息验证代码 （MESSAGE AUTHENTICATION CODE）

4.2.2 测试多个 SSH 信息验证代码 （MESSAGE AUTHENTICATION CODE）

4.3 显示所有在使用的 SSH 加密方式 （cipher） 、信息验证代码 （message authentication code） 和算法 （algorithm）

4.3.1 使用 SSHD 命令显示所有在使用的加密方式 （cipher） 、信息验证代码 （MESSAGE AUTHENTICATION CODE）

4.3.2 使用 NMAP 命令显示所有在使用的 SSH 加密方式 （cipher） 、信息验证代码 （MESSAGE AUTHENTICATION CODE） 和算法 （ALGORITHM）

4.3.3 使用 NMAP 命令显示所有在使用的 SSH 加密方式 （cipher） 、信息验证代码 （MESSAGE AUTHENTICATION CODE） 和算法 （ALGORITHM）

报错命令

报错代码

解决方法

解决方法一：添加缺失的软件库 （必须要有相关软件库的订阅才能使用此解决方法）

1.1 显示所有的软件库

1.2 添加相应的软件库

解决方法二：删除缺失的软件库

现象一：ping 命令会卡住

现象二：SSH 远程登录后输入命令会卡住

现象三：SNMP 客户端失效

正文：

步骤一：将 SSL 证书公钥从 cer 格式转换到 pem 格式

步骤二：将 SSL 证书公钥和私钥从 pem 格式转换成 pfx

参考文献：

内容一：临时设置命令路径

1.1 直接临时设置命令路径的方法

1.2 使用 export 命令临时设置命令路劲的方法

内容二：永久设置命令路径

2.1 在可以设置环境变量的文件里设置环境变量

2.2 让刚刚在文件里设置的环境变量生效

内容三：在 Linux 中其它可以添加命令路径的文件

1.2 确定 /usr/etc/ssh/sshd_config.d/.conf 文件或者 /etc/ssh/sshd_config.d/.conf 文件

2.3 显示目前正在被使用的 SSH 算法（algorithms）和加密方式（ciphers）

步骤三：让在 /etc/crypto-policies/back-ends/opensshserver.config 配置文件中添加要使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）生效

步骤四：测试 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

4.1 测试 SSH 加密方式（cipher）

4.1.1 测试某个 SSH 加密方式（cipher）

4.1.2 测试多个 SSH 加密方式（cipher）

4.2 测试 SSH 信息验证代码（message authentication code）

4.2.1 测试某个 SSH 信息验证代码（MESSAGE AUTHENTICATION CODE）

4.2.2 测试多个 SSH 信息验证代码（MESSAGE AUTHENTICATION CODE）

4.3 显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（message authentication code）和算法（algorithm）

4.3.1 使用 SSHD 命令显示所有在使用的加密方式（cipher）、信息验证代码（MESSAGE AUTHENTICATION CODE）

4.3.2 使用 NMAP 命令显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（MESSAGE AUTHENTICATION CODE）和算法（ALGORITHM）

4.3.3 使用 NMAP 命令显示所有在使用的 SSH 加密方式（cipher）、信息验证代码（MESSAGE AUTHENTICATION CODE）和算法（ALGORITHM）

解决方法一：添加缺失的软件库（必须要有相关软件库的订阅才能使用此解决方法）