Przestarzałe opcje przy ponownym uruchomieniu openssh w Stretch

20

Dzisiaj, po przeprowadzeniu aktualizacji w Debian Stretch, zaczął wyświetlać te ostrzeżenia podczas ponownego uruchamiania sshusługi z moją bieżącą konfiguracją:

/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication
[....] Restarting OpenBSD Secure Shell server: sshd
/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication

Co tu się dzieje?

Używanie Debiana 9 z OpenSSH 7.4

Rui F. Ribeiro
źródło

Odpowiedzi:

26

W bieżącej aktualizacji Stretch opensshzmieniono wersję z 7.3 na 7.4, wydaną 19 grudnia 2016 r.

Jak można wywnioskować z Uwag do wydania i komentarzy @Jakuje, opiekunowie OpenSSH na dobre usunęli odpowiednie opcje konfiguracji, ponieważ są przestarzałe.

Dzięki temu linie można bezpiecznie usunąć.

Ponadto obejmij:

Informacja o wycofaniu w przyszłości

W przyszłych wydaniach planujemy wycofać więcej starszej kryptografii, w szczególności:

  • Około sierpnia 2017 r. Usunięcie pozostałej obsługi
    protokołu SSH v.1 (tylko dla klienta i obecnie wyłączony czas kompilacji)

  • W tej samej wersji usunięto obsługę szyfrów Blowfish i RC4 oraz RIPE-MD160 HMAC. (Są one obecnie wyłączone w czasie wykonywania).

  • Odrzucanie wszystkich kluczy RSA mniejszych niż 1024 bity (bieżące minimum
    to 768 bitów)

  • Następna wersja OpenSSH usunie obsługę uruchamiania sshd (8) z wyłączonym rozdziałem uprawnień.

  • Kolejna wersja przenośnego OpenSSH usunie obsługę
    wersji OpenSSL przed 1.0.1.

Rui F. Ribeiro
źródło
2
nie. Ta funkcjonalność zniknęła z kilku wersji. Teraz usunęli tylko opcje konfiguracji (ponieważ nie mieli żadnego wpływu na SSH2). Problem polega na tym, że plik konfiguracyjny nie jest dostarczany przez twoją dystrybucję przez pewien czas (zawierający te opcje).
Jakuje
@Jakuje Co ciekawe, tak naprawdę do tej pory nie zwracałem uwagi na uwagę dotyczącą klienta tylko w informacjach o wydaniu.
Rui F Ribeiro
19

Możesz usunąć przestarzałe wiersze konfiguracji za pomocą:

sed -i '/KeyRegenerationInterval/d' /etc/ssh/sshd_config
sed -i '/ServerKeyBits/d' /etc/ssh/sshd_config
sed -i '/RSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/RhostsRSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/UsePrivilegeSeparation/d' /etc/ssh/sshd_config

I zrestartuj demona SSH: systemctl restart sshd

Xdg
źródło
3
Cześć, gratuluję pierwszego postu. Twoja odpowiedź jest prawidłowa pod względem technicznym, ale pytanie dotyczy bardziej whysniż tego, jak to zrobić.
Rui F Ribeiro
1
Tak, masz rację, dziękuję za zwrócenie uwagi.
Xdg
1
Niemniej jednak jest to przydatna odpowiedź.
Jasen
1
.. i potwierdza, że ​​jest to bezpieczne, nie wymagając żadnych nowo wprowadzonych preferowanych opcji?
mckenzm