Oxidized项目中SSH RSA-SHA2-512密钥兼容性问题分析

问题背景

在Oxidized网络设备配置备份工具（版本0.29.1）与Net-SSH库（版本7.2.1及以上）的配合使用中，当目标设备（如Fortigate防火墙）提供rsa-sha2-512密钥类型时，系统会出现崩溃现象。这一问题源于SSH协议实现中的密钥类型兼容性问题，特别是在处理RFC8332引入的新型RSA签名算法时。

技术细节分析

密钥交换机制

在SSH协议握手过程中，客户端和服务器会协商使用的密钥算法。正常情况下，服务器会提供多种可选的密钥类型（如rsa-sha2-512和ssh-ed25519），客户端应选择其中一种支持的算法进行后续通信。

问题根源

1. Fortigate的实现问题：Fortigate设备在密钥交换阶段错误地将密钥格式标识为"rsa-sha2-512"，而根据RFC标准，实际应使用"ssh-rsa"格式。

2. Net-SSH的严格校验：Net-SSH库在7.2.1版本后加强了对密钥类型的校验，当遇到非标准格式时会直接抛出NotImplementedError异常，而非优雅地回退到其他可用算法。

3. Oxidized的异常处理：Oxidized未能完全捕获并处理这一底层异常，导致整个进程崩溃。

解决方案探讨

临时解决方案

通过修改Net-SSH库的buffer.rb文件，扩展对密钥类型的识别模式：

when /^ssh-rsa$/, /^rsa-sha2-(256|512)$/

这一修改使得Net-SSH能够接受Fortigate发送的非标准密钥类型标识。

长期建议

1. 设备端配置调整：建议在Fortigate设备上优先配置ed25519密钥算法，这不仅是更现代的加密方案，也能避免此类兼容性问题。

2. 库更新策略：关注Net-SSH库的后续版本，看是否会增加对非标准实现的兼容性处理。

3. Oxidized增强：建议Oxidized增加对SSH连接失败的优雅处理机制，至少应记录详细错误而非直接崩溃。

技术影响评估

这一问题揭示了网络设备SSH实现中的几个重要方面：

1. 协议兼容性：不同厂商对SSH协议标准的实现存在差异，特别是在较新的加密算法支持上。

2. 安全与兼容的平衡：严格遵循标准有助于安全性，但可能牺牲与某些设备的兼容性。

3. 错误处理机制：上层应用需要对底层库可能抛出的各种异常有充分的处理预案。

最佳实践建议

对于使用Oxidized的管理员，建议采取以下措施：

1. 版本控制：保持Oxidized和依赖库的版本更新，但升级前应在测试环境验证兼容性。

2. 设备审计：定期检查网络设备的SSH配置，确保使用标准化、广泛支持的加密算法。

3. 监控机制：实施对Oxidized运行状态的监控，及时发现并处理连接失败情况。

4. 测试验证：在设备固件升级前后，验证Oxidized的连接功能是否正常。

通过以上分析和建议，希望能帮助管理员更好地理解和解决Oxidized与网络设备间的SSH连接兼容性问题。