JSch库在ColdFusion 2021中SFTP连接问题的解决方案

JSch库在ColdFusion 2021中SFTP连接问题的解决方案

jsch fork of the popular jsch library 项目地址: https://gitcode.com/gh_mirrors/jsc/jsch

问题背景

在ColdFusion 2021从Update 11升级到Update 17后，许多开发者遇到了SFTP连接失败的问题。这个问题源于JSch库版本的更新（从jsch-0.1.54.jar升级到jsch-0.2.17.jar），新版库默认禁用了某些旧的加密算法。

错误分析

典型的错误信息显示算法协商失败，具体表现为：

Algorithm negotiation fail: algorithmName="cipher.c2s" 
jschProposal="aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com" 
serverProposal="aes128-cbc,3des-cbc,blowfish-cbc,aes192-cbc,aes256-cbc"

这表明客户端(JSch)和服务器端支持的加密算法不匹配。JSch新版本默认禁用了CBC模式的加密算法（如aes256-cbc），而这些算法仍被某些旧服务器使用。

安全考虑

虽然解决方案是重新启用这些算法，但必须注意：

1. CBC模式加密算法被认为安全性较低
2. 这些算法已被现代安全标准（如PCI DSS）禁止
3. 长期解决方案应该是升级服务器端配置

解决方案

对于必须连接旧服务器的场景，可以通过以下JVM参数配置JSch：

1. 启用SSH-RSA算法：

   -Dcoldfusion.sftp.enable-ssh-rsa=TRUE
   

2. 设置指纹验证方式：

   -Dcoldfusion.sftp.fingerprint=md5
   

3. 指定加密算法：

   -Djsch.cipher=aes128-cbc
   

这些参数应添加到ColdFusion的jvm.config文件中。完整的配置示例如下：

-Dcoldfusion.sftp.enable-ssh-rsa=TRUE 
-Dcoldfusion.sftp.fingerprint=md5 
-Djsch.cipher=aes128-cbc

实施步骤

1. 定位ColdFusion的jvm.config文件（通常位于CF安装目录的bin文件夹下）
2. 在Java参数部分添加上述配置
3. 保存文件并重启ColdFusion服务
4. 测试SFTP连接功能

替代方案

如果可能，考虑以下更安全的替代方案：

1. 升级服务器端SSH服务以支持更现代的加密算法
2. 使用SFTP客户端替代方案
3. 如果数据不敏感，可以考虑使用其他传输协议

总结

虽然通过配置可以解决JSch与旧SFTP服务器的连接问题，但这只是临时解决方案。从安全角度出发，建议尽快升级服务器端配置以支持更现代的加密算法。对于必须使用旧服务器的场景，应确保数据传输不包含敏感信息，并考虑额外的安全措施。

jsch fork of the popular jsch library 项目地址: https://gitcode.com/gh_mirrors/jsc/jsch