PubkeyAcceptedKeyTypes e tipo di chiave ssh-dsa

Sto cercando di testare l'ordine in cui vengono provate le chiavi. Uno degli utenti del sistema utilizza DSA, quindi sto provando a testarlo come opzione. Sto ottenendo un Bad key types.

$ ssh -vv -p 1522 jwalton@192.168.1.11
OpenSSH_7.1p1, OpenSSL 1.0.2d 9 Jul 2015
debug1: Reading configuration data /Users/jwalton/.ssh/config
/Users/jwalton/.ssh/config line 2: Bad key types 'ssh-ed25519,ecdsa-sha2-nistp256,ssh-dsa,ssh-rsa'.

L'ho ristretto a ssh-dsa. Secondo ssh_config(5) (fa effettivamente parte di sshd_config(5), ma è elencato come una nuova ssh_configfunzionalità nelle note di rilascio di OpenSSH 7.0):

 The -Q option of ssh(1) may be used to list supported key types.

Tuttavia, non riesco a farlo funzionare:

riemann::~$ ssh -Q 
/usr/local/bin/ssh: option requires an argument -- Q
riemann::~$ ssh -Q dsa
Unsupported query "dsa"
riemann::~$ ssh -Q ssh-dsa
Unsupported query "ssh-dsa"
riemann::~$ ssh -Q ed25529
Unsupported query "ed25529"
riemann::~$ ssh -Q ssh-ed25529
Unsupported query "ssh-ed25529"
riemann::~$ ssh -Q PubkeyAcceptedKeyTypes
Unsupported query "PubkeyAcceptedKeyTypes"

Come si usa l' ssh -Qopzione?

Qual è il tipo di chiave per ssh-dsa?

linux ssh openssh

— JWW
fonte

Risposte:

La lettura di pagine di manuale dovrebbe aiutarti:

 -Q cipher | cipher-auth | mac | kex | key | protocol-version
Query sshper gli algoritmi supportati per la versione 2. Le funzionalità disponibili sono: cipher(cifre simmetriche supportate), cipher-auth(cifre simmetriche supportate che supportano la crittografia autenticata), mac(codici di integrità dei messaggi supportati), kex(algoritmi di scambio di chiavi), key(tipi di chiave) e protocol-version(versioni supportate del protocollo SSH).

Chiamare ssh -Q keyti dà quello che vuoi:

ssh -Q key
ssh-ed25519
ssh-ed25519-cert-v01@openssh.com
ssh-rsa
ssh-dss
ecdsa-sha2-nistp256
ecdsa-sha2-nistp384
ecdsa-sha2-nistp521
ssh-rsa-cert-v01@openssh.com
ssh-dss-cert-v01@openssh.com
ecdsa-sha2-nistp256-cert-v01@openssh.com
ecdsa-sha2-nistp384-cert-v01@openssh.com
ecdsa-sha2-nistp521-cert-v01@openssh.com

Questa è una nuova funzionalità di openssh-7.0, quindi ricorda che non deve funzionare con le versioni precedenti.

ssh-dsail tipo di chiave è ssh-dssed è disabilitato per impostazione predefinita in questa versione.

— Jakuje
fonte

Grazie. In quale pagina man eri?

— JWW

"Il tipo di chiave ssh-dsa è ssh-dss ed è disabilitato di default in questa versione." - Ok grazie. C'è un motivo per cui è disabilitato per impostazione predefinita? DSA2 ha una sicurezza di 112 bit (equivalente a RSA a 2048 bit), quindi non è debole / ferito come un modulo a 512 o 768 bit. Inoltre, DSS include RSA ed ECDSA, quindi disabilita chiaramente DSA e non DSS.

— JWW

Non nelle pagine man qui con Fedora 23 beta; ma il tasto ssh -Q funziona. Purtroppo le chiavi sulla mia macchina non sono supportate ora.

— mikebabcock,

@ PavelŠimerda In che modo è legato al DNS? Intendi DSA? Questo è esattamente ciò che è l' PubkeyAcceptedKeyTypesopzione per. Se lo aggiungi a ssh_config con +ssh-dssvalore, dovresti essere in grado di accettare le chiavi DSA sul server. Sul server è possibile utilizzare HostKeyAlgorithmscome descritto nelle note di rilascio: openssh.com/txt/release-7.0

— Jakuje,

@DavidFaure Non spiega perché, è stato disabilitato, dice solo che è stato disabilitato e come gestirlo

— Jakuje,

Per riferimento, una risposta pubblicata in unix.stackexchange.com ci ha aiutato a risolvere il problema:

La nuova versione openssh (7.0+) ha deprecato le chiavi DSA e non utilizza le chiavi DSA per impostazione predefinita (non sul server o sul client). Le chiavi non sono più preferite per essere utilizzate, quindi se possibile, consiglierei di usare le chiavi RSA ove possibile.

Se hai davvero bisogno di usare le chiavi DSA, devi autorizzarle esplicitamente nella configurazione del tuo client usando

PubkeyAcceptedKeyTypes + ssh-dss Dovrebbe essere sufficiente per mettere quella riga in ~ / .ssh / config, come il messaggio dettagliato sta cercando di dirti.

/unix//a/247614/39540

— Meetai.com
fonte