PubkeyAcceptedKeyTypes và loại khóa ssh-dsa

Tôi đang cố kiểm tra thứ tự các phím được thử. Một trong những người dùng của hệ thống đang sử dụng DSA, vì vậy tôi đang thử kiểm tra nó như một tùy chọn. Tôi đang nhận được một Bad key types.

$ ssh -vv -p 1522 jwalton@192.168.1.11
OpenSSH_7.1p1, OpenSSL 1.0.2d 9 Jul 2015
debug1: Reading configuration data /Users/jwalton/.ssh/config
/Users/jwalton/.ssh/config line 2: Bad key types 'ssh-ed25519,ecdsa-sha2-nistp256,ssh-dsa,ssh-rsa'.

Tôi thu hẹp nó xuống ssh-dsa. Theo ssh_config(5) (thực sự là một phần của nó sshd_config(5), nhưng nó được liệt kê như một ssh_configtính năng mới trong ghi chú phát hành OpenSSH 7.0):

 The -Q option of ssh(1) may be used to list supported key types.

Tuy nhiên, tôi dường như không thể làm cho nó hoạt động:

riemann::~$ ssh -Q 
/usr/local/bin/ssh: option requires an argument -- Q
riemann::~$ ssh -Q dsa
Unsupported query "dsa"
riemann::~$ ssh -Q ssh-dsa
Unsupported query "ssh-dsa"
riemann::~$ ssh -Q ed25529
Unsupported query "ed25529"
riemann::~$ ssh -Q ssh-ed25529
Unsupported query "ssh-ed25529"
riemann::~$ ssh -Q PubkeyAcceptedKeyTypes
Unsupported query "PubkeyAcceptedKeyTypes"

Làm thế nào để một người sử dụng ssh -Qtùy chọn?

Loại chìa khóa cho ssh-dsa là gì?

linux ssh openssh

— jww
nguồn

Câu trả lời:

Đọc các trang hướng dẫn sẽ giúp bạn:

 -Q cipher | cipher-auth | mac | kex | key | protocol-version
Các truy vấn sshcho các thuật toán được hỗ trợ cho phiên bản đã chỉ định 2. Các tính năng khả dụng là: cipher(mật mã đối xứng được hỗ trợ), cipher-auth(mật mã đối xứng được hỗ trợ hỗ trợ mã hóa xác thực), mac(mã toàn vẹn thông điệp được hỗ trợ), kex(thuật toán trao đổi khóa) và key(loại khóa) protocol-version(phiên bản giao thức SSH được hỗ trợ).

Gọi điện ssh -Q keycho bạn những gì bạn muốn:

ssh -Q key
ssh-ed25519
ssh-ed25519-cert-v01@openssh.com
ssh-rsa
ssh-dss
ecdsa-sha2-nistp256
ecdsa-sha2-nistp384
ecdsa-sha2-nistp521
ssh-rsa-cert-v01@openssh.com
ssh-dss-cert-v01@openssh.com
ecdsa-sha2-nistp256-cert-v01@openssh.com
ecdsa-sha2-nistp384-cert-v01@openssh.com
ecdsa-sha2-nistp521-cert-v01@openssh.com

Đây là tính năng mới trong openssh-7.0, vì vậy hãy nhớ rằng nó không phải hoạt động trong các phiên bản cũ hơn.

ssh-dsaloại khóa là ssh-dssvà nó bị tắt theo mặc định trong phiên bản này.

— Jakuje
nguồn

Cảm ơn. Bạn đang ở trang nào?

— jww

"Loại khóa ssh-dsa là ssh-dss và nó bị tắt theo mặc định trong phiên bản này." - Được rồi cảm ơn. Có một lý do nó bị vô hiệu hóa theo mặc định? DSA2 có bảo mật 112 bit (tương đương RSA 2048 bit), do đó, nó không yếu / bị thương như mô-đun 512 bit hoặc 768 bit. Ngoài ra, DSS bao gồm RSA và ECDSA, do đó, nó vô hiệu hóa rõ ràng DSA, và không phải DSS.

— jww

Không có trong các trang man ở đây với Fedora 23 beta; nhưng khóa ssh -Q không hoạt động. Thật không may, các phím trên máy của tôi không được hỗ trợ.

— mikebabcock

@ PavelŠimerda Điều này liên quan đến DNS như thế nào? Ý bạn là DSA? Đây chính xác là những gì các PubkeyAcceptedKeyTypestùy chọn cho. Nếu bạn thêm nó vào ssh_config bằng +ssh-dssgiá trị, bạn sẽ có thể chấp nhận khóa DSA trên máy chủ. Trên máy chủ, bạn có thể sử dụng HostKeyAlgorithmsnhư được mô tả trong ghi chú phát hành: openssh.com/txt/release-7.0

— Jakuje

@DavidFaure Không giải thích được tại sao, nó bị vô hiệu hóa, nó chỉ nói rằng nó bị vô hiệu hóa và cách xử lý

— Jakuje

Để tham khảo, một câu trả lời được đăng trong unix.stackexchange.com đã giúp chúng tôi khắc phục sự cố:

Phiên bản openssh mới (7.0+) không dùng nữa các khóa DSA và không sử dụng các khóa DSA theo mặc định (không phải trên máy chủ hoặc máy khách). Các khóa không được ưu tiên sử dụng nữa, vì vậy nếu bạn có thể, tôi khuyên bạn nên sử dụng các khóa RSA nếu có thể.

Nếu bạn thực sự cần sử dụng khóa DSA, bạn cần cho phép rõ ràng chúng trong cấu hình máy khách của mình bằng cách sử dụng

PubkeyAcceptedKeyTypes + ssh-dss Nên đủ để đặt dòng đó vào ~ / .ssh / config, vì thông báo dài dòng đang cố nói với bạn.

/unix//a/247614/39540

— Meetai.com
nguồn