PubkeyAcceptedKeyTypes dan jenis kunci ssh-dsa


12

Saya mencoba menguji urutan kunci yang dicoba. Salah satu pengguna sistem menggunakan DSA, jadi saya mencoba mengujinya sebagai opsi. Saya mendapat Bad key types.

$ ssh -vv -p 1522 jwalton@192.168.1.11
OpenSSH_7.1p1, OpenSSL 1.0.2d 9 Jul 2015
debug1: Reading configuration data /Users/jwalton/.ssh/config
/Users/jwalton/.ssh/config line 2: Bad key types 'ssh-ed25519,ecdsa-sha2-nistp256,ssh-dsa,ssh-rsa'.

Saya mempersempitnya menjadi ssh-dsa. Menurut ssh_config(5) (sebenarnya bagian dari sshd_config(5), tetapi terdaftar sebagai ssh_configfitur baru dalam catatan rilis OpenSSH 7.0):

 The -Q option of ssh(1) may be used to list supported key types.

Namun, sepertinya saya tidak bisa membuatnya bekerja:

riemann::~$ ssh -Q 
/usr/local/bin/ssh: option requires an argument -- Q
riemann::~$ ssh -Q dsa
Unsupported query "dsa"
riemann::~$ ssh -Q ssh-dsa
Unsupported query "ssh-dsa"
riemann::~$ ssh -Q ed25529
Unsupported query "ed25529"
riemann::~$ ssh -Q ssh-ed25529
Unsupported query "ssh-ed25529"
riemann::~$ ssh -Q PubkeyAcceptedKeyTypes
Unsupported query "PubkeyAcceptedKeyTypes"

Bagaimana cara menggunakan ssh -Qopsi?

Apa jenis kunci untuk ssh-dsa?

Jawaban:


14

Membaca halaman manual akan membantu Anda:

 -Q cipher | cipher-auth | mac | kex | key | protocol-version

Permintaan sshuntuk algoritma yang didukung untuk versi yang ditentukan 2. Fitur yang tersedia adalah: cipher(sandi simetris yang didukung), cipher-auth(sandi simetris yang didukung yang mendukung enkripsi yang diautentikasi), mac(kode integritas pesan yang didukung), kex(algoritma pertukaran kunci), key(jenis kunci) dan protocol-version(versi protokol SSH yang didukung).

Panggilan ssh -Q keymemberi Anda apa yang Anda inginkan:

ssh -Q key
ssh-ed25519
ssh-ed25519-cert-v01@openssh.com
ssh-rsa
ssh-dss
ecdsa-sha2-nistp256
ecdsa-sha2-nistp384
ecdsa-sha2-nistp521
ssh-rsa-cert-v01@openssh.com
ssh-dss-cert-v01@openssh.com
ecdsa-sha2-nistp256-cert-v01@openssh.com
ecdsa-sha2-nistp384-cert-v01@openssh.com
ecdsa-sha2-nistp521-cert-v01@openssh.com

Ini adalah fitur baru di openssh-7.0 jadi ingatlah bahwa itu tidak harus bekerja di versi yang lebih lama.

ssh-dsajenis kuncinya adalah ssh-dssdan dinonaktifkan secara default di versi ini.


Terima kasih. Di halaman mana Anda berada?
jww

2
"Jenis kunci ssh-dsa adalah ssh-dss dan dinonaktifkan secara default di versi ini." - Ok terima kasih. Apakah ada alasannya dinonaktifkan secara default? DSA2 memiliki keamanan 112-bit (setara dengan RSA 2048-bit), sehingga tidak lemah / terluka seperti moduli 512-bit atau 768-bit. Juga, DSS termasuk RSA dan ECDSA, jadi itu jelas menonaktifkan DSA, dan bukan DSS.
jww

1
Tidak di halaman manual di sini dengan Fedora 23 beta; tapi ssh -Q key berhasil. Sayangnya kunci pada mesin saya tidak didukung sekarang.
mikebabcock

3
@ PavelŠimerda Bagaimana ini terkait dengan DNS? Maksudmu DSA? Inilah tepatnya PubkeyAcceptedKeyTypespilihan untuk. Jika Anda menambahkannya ke ssh_config Anda dengan +ssh-dssnilai, Anda harus dapat menerima kunci DSA di server. Di server, Anda dapat menggunakan HostKeyAlgorithmsseperti yang dijelaskan dalam catatan rilis: openssh.com/txt/release-7.0
Jakuje

1
@DavidFaure Itu tidak menjelaskan mengapa, itu dinonaktifkan itu hanya mengatakan itu dinonaktifkan dan bagaimana menanganinya
Jakuje

0

Untuk referensi, jawaban yang diposting di unix.stackexchange.com membantu kami memperbaiki masalah ini:

Versi openssh baru (7.0+) tidak lagi menggunakan kunci DSA dan tidak menggunakan kunci DSA secara default (bukan pada server atau klien). Kunci tidak disukai untuk digunakan lagi, jadi jika Anda bisa, saya akan merekomendasikan untuk menggunakan kunci RSA jika memungkinkan.

Jika Anda benar-benar perlu menggunakan kunci DSA, Anda harus mengizinkannya secara eksplisit dalam konfigurasi klien Anda

PubkeyAcceptedKeyTypes + ssh-dss Seharusnya cukup untuk meletakkan baris itu di ~ / .ssh / config, karena pesan verbose mencoba memberi tahu Anda.

/unix//a/247614/39540

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.