PubkeyAcceptedKeyTypes ve ssh-dsa anahtar türü

Anahtarların denendiği sırayı test etmeye çalışıyorum. Sistemin kullanıcılarından biri DSA kullanıyor, bu yüzden bir seçenek olarak test etmeye çalışıyorum. Ben alıyorum Bad key types.

$ ssh -vv -p 1522 jwalton@192.168.1.11
OpenSSH_7.1p1, OpenSSL 1.0.2d 9 Jul 2015
debug1: Reading configuration data /Users/jwalton/.ssh/config
/Users/jwalton/.ssh/config line 2: Bad key types 'ssh-ed25519,ecdsa-sha2-nistp256,ssh-dsa,ssh-rsa'.

Bunu daralttım ssh-dsa. Göre ssh_config(5) (aslında bir parçası sshd_config(5), ancak ssh_configOpenSSH 7.0 sürüm notlarında yeni bir özellik olarak listelenmiştir ):

 The -Q option of ssh(1) may be used to list supported key types.

Ancak, işe almak için sabırsızlanıyorum:

riemann::~$ ssh -Q 
/usr/local/bin/ssh: option requires an argument -- Q
riemann::~$ ssh -Q dsa
Unsupported query "dsa"
riemann::~$ ssh -Q ssh-dsa
Unsupported query "ssh-dsa"
riemann::~$ ssh -Q ed25529
Unsupported query "ed25529"
riemann::~$ ssh -Q ssh-ed25529
Unsupported query "ssh-ed25529"
riemann::~$ ssh -Q PubkeyAcceptedKeyTypes
Unsupported query "PubkeyAcceptedKeyTypes"

Kişi ssh -Qseçeneği nasıl kullanır ?

Ssh-dsa için anahtar türü nedir?

linux ssh openssh

— JWW
kaynak

Yanıtlar:

Manuel sayfaları okumak size yardımcı olacaktır:

 -Q cipher | cipher-auth | mac | kex | key | protocol-version
sshBelirtilen sürüm 2 için desteklenen algoritmalar için sorgular . Kullanılabilir özellikler şunlardır: cipher(desteklenen simetrik şifreler), cipher-auth(kimlik doğrulamalı şifrelemeyi destekleyen desteklenen simetrik şifreler), mac(desteklenen mesaj bütünlüğü kodları), kex(anahtar değişim algoritmaları), key(anahtar türleri) ve protocol-version(desteklenen SSH protokolü sürümleri).

Aramak ssh -Q keysize istediğinizi verir:

ssh -Q key
ssh-ed25519
ssh-ed25519-cert-v01@openssh.com
ssh-rsa
ssh-dss
ecdsa-sha2-nistp256
ecdsa-sha2-nistp384
ecdsa-sha2-nistp521
ssh-rsa-cert-v01@openssh.com
ssh-dss-cert-v01@openssh.com
ecdsa-sha2-nistp256-cert-v01@openssh.com
ecdsa-sha2-nistp384-cert-v01@openssh.com
ecdsa-sha2-nistp521-cert-v01@openssh.com

Bu, openssh-7.0'daki yeni özelliktir, bu nedenle eski sürümlerde çalışması gerekmediğini unutmayın.

ssh-dsaanahtar türü ssh-dssbu sürümde varsayılan olarak devre dışıdır.

— Jakuje
kaynak

Teşekkürler. Hangi adam sayfasındaydın?

— jww

"ssh-dsa anahtar türü ssh-dss'dir ve bu sürümde varsayılan olarak devre dışıdır." - Tamam teşekkürler. Varsayılan olarak devre dışı bırakılmasının bir nedeni var mı? DSA2, 112 bit güvenlik özelliğine sahiptir (2048 bit RSA'ya eşdeğer), bu yüzden 512 bit veya 768 bit modüller gibi zayıf / yaralı değildir. Ayrıca, DSS, RSA ve ECDSA'yı içerir, bu nedenle DSS'yi değil, DSA'yı açıkça devre dışı bırakır.

— jww

Fedora 23 beta ile buradaki sayfalarda değil; ssh -Q tuşu işe yarıyor. Maalesef makinemdeki tuşlar artık desteklenmiyor.

— mikebabcock

@ PavelŠimerda Bu, DNS ile nasıl ilişkilidir? DSA mı demek istiyorsun? PubkeyAcceptedKeyTypesSeçenek tam olarak budur . Ssh_config dosyasına +ssh-dssdeğer ile eklerseniz , sunucudaki DSA anahtarlarını kabul edebilmeniz gerekir. Sunucuda HostKeyAlgorithmssürüm notlarında açıklandığı gibi kullanabilirsiniz : openssh.com/txt/release-7.0

— Jakuje

@DavidFaure Nedenini açıklamıyor, devre dışı bırakıldı, sadece devre dışı bırakıldığını ve nasıl ele alınacağını söylüyor

— Jakuje

Referans olarak, unix.stackexchange.com'da yayınlanan bir yanıt sorunu çözmemize yardımcı oldu:

Yeni openssh sürümü (7.0+) DSA anahtarlarını kullanımdan kaldırmıştır ve varsayılan olarak DSA anahtarlarını kullanmamaktadır (sunucuda veya istemcide değil). Anahtarların artık kullanılması tercih edilmemektedir, bu yüzden mümkünse RSA anahtarlarını kullanmanızı tavsiye ederim.

Gerçekten DSA anahtarları kullanmanız gerekiyorsa, anahtarları istemcinizin yapılandırmasında açık bir şekilde izin vermeniz gerekir.

PubkeyAcceptedKeyTypes + ssh-dss Bu satır, ~ / .ssh / config dosyasına koymak için yeterli olmalıdır, çünkü ayrıntılı mesaj size söylemeye çalışmaktadır.

/unix//a/247614/39540

— Meetai.com
kaynak