Portál AbcLinuxu, 25. dubna 2024 16:12
HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_ecdsa_key HostKey /etc/ssh/ssh_host_ed25519_keyCize asi ten prvy teoreticky moze prestat byt ponukany. Ale mozno to cele chapem zle.
HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_keytak je vysledok:
[bambulka@pampusik ~]# ssh -oHostKeyAlgorithms=-ssh-rsa gates@old.microsoft.com Unable to negotiate with 10.20.30.40 port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dssKed skusam pripojenie na novsi, kde je zoznam HostKey z predchadzajuceho prispevku, tak je vysledok:
[bambulka@pampusik ~]# ssh -oHostKeyAlgorithms=-ssh-rsa gates@new.microsoft.com The authenticity of host 'new.microsoft.com (10.20.30.41)' can't be established. ECDSA key fingerprint is SHA256:3189h91s1jno2`0e932u12ji31jre83h13i3kjk4. Are you sure you want to continue connecting (yes/no/[fingerprint])?Cize to proste prestane ponukat ssh-rsa kluce.
To ale není totéž, bohužel je zmatek v tom, že "ssh-rsa" se používá jako označení typu (formátu) klíče např. v authorized_keys nebo known_hosts, ale také pro označení "key algorithm", tj. kombinace algoritmů použitých pro spojení. Takže i když má server nebo klient klíč označený "ssh-rsa" (což znamená jen to, že je to RSA klíč, tam žádný hashovací algoritmus nefiguruje), měl by jít používat i s algoritmy "rsa-sha2-256" nebo "rsa-sha2-512", viz např. RFC 8332.
Problém bude jen se staršími implementacemi ssh protokolu, které ty nové kombinace algoritmů (RSA s SHA-256 nebo SHA-512) nepodporují.
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.