Устаревшие параметры при перезапуске openssh в Stretch

20

Сегодня, после обновления в Debian Stretch, он начал отображать эти предупреждения при перезапуске sshсервиса с моей текущей конфигурацией:

/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication
[....] Restarting OpenBSD Secure Shell server: sshd
/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication

Что здесь происходит?

Использование Debian 9 с OpenSSH 7.4

debian openssh Руи Ф Рибейро
источник

Ответы:

26

В текущем обновлении Stretch opensshверсия изменилась с 7.3 до 7.4, выпущенной 2016-Dec-19.

Как можно понять из замечаний к выпуску и комментариев @Jakuje, сопровождающие OpenSSH навсегда удалили соответствующие параметры конфигурации, поскольку они устарели.

Таким образом, линии могут быть безопасно удалены.

Также возьмем главу:

Будущее уведомление об устаревании

Мы планируем удалить больше устаревшей криптографии в следующих выпусках, а именно:

  • Примерно в августе 2017 года будет удалена оставшаяся поддержка
    протокола SSH v.1 (только для клиента и в настоящее время отключено во время компиляции).

  • В том же выпуске исключена поддержка шифров Blowfish и RC4 и RIPE-MD160 HMAC. (В настоящее время они отключены).

  • Отказ от всех ключей RSA размером менее 1024 бит (текущий минимум
    составляет 768 бит)

  • В следующем выпуске OpenSSH будет удалена поддержка запуска sshd (8) с отключенным разделением привилегий.

  • В следующем выпуске портативного OpenSSH будет удалена поддержка
    версии OpenSSL до 1.0.1.

Руи Ф Рибейро
источник
2
нет. Эта функциональность отсутствует для нескольких версий. Теперь они только удалили параметры конфигурации (потому что они не влияли на SSH2). Проблема в том, что у вас есть файл конфигурации, который не поставляется вашим дистрибутивом в течение некоторого времени (содержащий эти параметры).
Jakuje
@Jakuje Интересно, я действительно не обращал внимания на замечание только для клиентов в примечаниях к выпуску до сих пор.
Руи Ф Рибейро
19

Вы можете удалить устаревшие строки конфигурации следующим образом:

sed -i '/KeyRegenerationInterval/d' /etc/ssh/sshd_config
sed -i '/ServerKeyBits/d' /etc/ssh/sshd_config
sed -i '/RSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/RhostsRSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/UsePrivilegeSeparation/d' /etc/ssh/sshd_config

И перезапустите демон SSH: systemctl restart sshd

XDG
источник
3
Привет, поздравляю с первым постом. в то время как ваш ответ технически правильный, вопрос больше связан с тем, whysкак это сделать.
Руи Ф. Рибейро,
1
Да, вы правы, спасибо за указание.
XDG
1
Тем не менее, это полезный ответ.
Ясен
1
... и подтверждает, что это безопасно, не требуя каких-либо новых предпочтительных вариантов?
Маккензм