При попытке подключится к серверу, выадёт ошибку:

Unable to negotiate with {IP} port 22: no matching MAC found. Their offer: hmac-md5,hmac-sha1,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96

Что делать?

В каких-то непостижимых случаях, прекращается доступ к серверу по SSH. При попытке подключиться, соединение "зависает". Если при этом указать ключик "-vvv", который означает максимальную детализацию процесса подключения, можно увидеть, что зависание происходит после получения сообщения:

debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY

Что делать?

Иногда требования к обмену данными выглядят довольно странно. Например, людям не нужен FTP а нужен только SFTP. Однако при этом они хотят, чтобы зайти по SSH не было возможности, а при входе по SFTP, чтобы пользователь был заперт в своём домашнем каталоге и не видел ничего лишнего (chroot). Рецепт как такое реализовать даю ниже. Решение делалось на CentOS 7, но причин, по котороым оно должно не работать в других дистрибутивах - я не вижу.

Бывают ситуации, когда пользователю нужно разрешить вход по SSH, но при этом сделать так, чтобы при входе выполнялась одна единственная команда, например, для выдачи какой-то статистической или справочной информации или даже вообще создания собственной "обёртки" (wrapper'а). Для этого у SSH есть довольно мало известное средство. В файле ~/.ssh/authorized_keys, куда прописываются открытые ключи для авторизации входа пользователей по ключу, перед самим ключом (который начинается префиксом ssh-rsa) нужно указать требуемую команду, т.е.

Задача: мы подключаемся со своего компьютера, у которого есть доступ к Интернету, к серверу, у которого нет доступа к Интернет. Однако, есть необходимость установить на сервере какое-либо программное обеспечение, которое нужно загрузить из интернета. Что делать?

Очень интересное использование SSH, когда надо подлезть в браузере к машине, которая находится в VPN сети или в локальной сети с "запрещёнными" адресами, но при этом у нас есть SSH доступ к одной из машин такой сети. Даём команду:

ssh -D 127.0.0.1:8090 -l user xxx.xxx.xxx.xxx

Где 8090 - порт на локальной машине для SOCKS сервера, а xxx.xxx.xxx.xxx - это IP адрес машины из нужной нам сети, к которой есть SSH доступ. Разумеется многое зависит от привилегий, которые имеет пользователь user, в идеале - это root.

Предположим у вас есть домашняя или рабочая сеть с запрещёнными IP-адресами диапазонов 192.168.x.x или 10.x.x.x и т.д.
Также на работе у вас есть сервер с поднятым на нём SSH, который доступен по SSH из Инернета.
Теперь допустим, вам необходимо из дома получить доступ к компьютеру в рабочей сети, чтобы почитать почту, пришедшую на рабочий ящик на праздники.
Для этой цели, на рабочем компьютере вы подняли VNC-сервер и настроили его на приём соединений по паролю.

1. На машине ОТКУДА будет осуществляться доступ, зайдите под тем пользователем, из под которого будет осуществляться доступ выполнить команду генерации ключей:

   ssh-keygen -t rsa
   

   При запросе пароля, просто нажать Enter.

Предположим, что IP-адрес вашей машины, с которой вам нужно зайти на сервер1 по SSH заблокирован на файрволе данного сервера. Однако, есть ещё один сервер2, на который вы можете зайти по SSH, а уже с него зайти на сервер1. Вы бы так и сделали, но всё осложняется тем, что доступ осуществляется по ключу только с вашей машины, без ввода пароля и вы просто не знаете пароль. В этом случае, даже если вы находитесь на сервере1 вы не сможете зайти на сервер2 обычным образом, ведь у вас потребует пароль! Но существует способ как можно решить данную проблему.