Opzioni obsolete al riavvio di openssh in Stretch

20

Oggi, dopo aver effettuato gli aggiornamenti in Debian Stretch, ha iniziato a visualizzare questi avvisi quando sshho riavviato il servizio con la mia configurazione attuale:

/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication
[....] Restarting OpenBSD Secure Shell server: sshd
/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication

Cosa sta succedendo qui?

Usare Debian 9 con OpenSSH 7.4

debian  openssh 
Rui F Ribeiro
fonte

Risposte:

26

Nell'attuale aggiornamento di Stretch, la opensshversione è cambiata da 7.3 a 7.4, rilasciata il 2016-dic-19.

Come si può dedurre dalle note di rilascio e dai commenti di @Jakuje, i manutentori di OpenSSH hanno rimosso definitivamente le opzioni di configurazione corrispondenti, poiché sono obsolete.

Quindi le linee possono essere rimosse in sicurezza.

Inoltre, prendi la testa di:

Avviso di ammortamento futuro

Abbiamo in programma di ritirare più crittografia legacy nelle versioni future, in particolare:

  • A circa agosto 2017, rimuovendo il supporto rimanente per il
    protocollo SSH v.1 (solo client e tempo di compilazione attualmente disabilitato).

  • Nella stessa versione, rimuovere il supporto per le cifre Blowfish e RC4 e il RIPE-MD160 HMAC. (Questi sono attualmente runtime disabilitati).

  • Rifiutare tutte le chiavi RSA inferiori a 1024 bit (l'attuale minimo
    è 768 bit)

  • La prossima versione di OpenSSH rimuoverà il supporto per l'esecuzione di sshd (8) con la separazione dei privilegi disabilitata.

  • La prossima versione di OpenSSH portatile rimuoverà il supporto per la
    versione OpenSSL precedente alla 1.0.1.

Rui F Ribeiro
fonte
2
no. Questa funzionalità è sparita per alcune versioni. Ora hanno rimosso solo le opzioni di configurazione (perché non avevano alcun effetto su SSH2). Il problema è che il file di configurazione non è stato spedito dalla tua distribuzione per un po 'di tempo (contenente queste opzioni).
Jakuje,
@Jakuje Interessante, fino ad ora non ho prestato attenzione all'osservazione del solo client nelle note di rilascio.
Rui F Ribeiro,
19

È possibile rimuovere le righe di configurazione obsolete con questo:

sed -i '/KeyRegenerationInterval/d' /etc/ssh/sshd_config
sed -i '/ServerKeyBits/d' /etc/ssh/sshd_config
sed -i '/RSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/RhostsRSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/UsePrivilegeSeparation/d' /etc/ssh/sshd_config

E riavvia il demone SSH: systemctl restart sshd

xDG
fonte
3
Ciao, congratulazioni per il tuo primo post. mentre la tua risposta è tecnicamente corretta, la domanda è più preoccupata whysdi come farlo.
Rui F Ribeiro,
1
Sì, hai ragione, grazie per avermelo fatto notare.
Xdg,
1
Tuttavia, questa è una risposta utile.
Jasen,
1
..e conferma che è sicuro farlo senza richiedere alcuna opzione preferita appena introdotta?
mckenzm,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.