PubkeyAcceptedKeyTypes et type de clé ssh-dsa

12

J'essaie de tester l'ordre dans lequel les clés sont essayées. L'un des utilisateurs du système utilise DSA, j'essaie donc de le tester en option. Je reçois un Bad key types.

$ ssh -vv -p 1522 [email protected]
OpenSSH_7.1p1, OpenSSL 1.0.2d 9 Jul 2015
debug1: Reading configuration data /Users/jwalton/.ssh/config
/Users/jwalton/.ssh/config line 2: Bad key types 'ssh-ed25519,ecdsa-sha2-nistp256,ssh-dsa,ssh-rsa'.

Je l'ai réduit à ssh-dsa. Selon ssh_config(5) (il fait en fait partie de sshd_config(5), mais il est répertorié comme une nouvelle ssh_configfonctionnalité dans les notes de publication d'OpenSSH 7.0):

 The -Q option of ssh(1) may be used to list supported key types.

Cependant, je n'arrive pas à le faire fonctionner:

riemann::~$ ssh -Q 
/usr/local/bin/ssh: option requires an argument -- Q
riemann::~$ ssh -Q dsa
Unsupported query "dsa"
riemann::~$ ssh -Q ssh-dsa
Unsupported query "ssh-dsa"
riemann::~$ ssh -Q ed25529
Unsupported query "ed25529"
riemann::~$ ssh -Q ssh-ed25529
Unsupported query "ssh-ed25529"
riemann::~$ ssh -Q PubkeyAcceptedKeyTypes
Unsupported query "PubkeyAcceptedKeyTypes"

Comment utilise-t-on l' ssh -Qoption?

Quel est le type de clé pour ssh-dsa?

jww
la source

Réponses:

14

La lecture des pages de manuel devrait vous aider:

 -Q cipher | cipher-auth | mac | kex | key | protocol-version

Requêtes sshpour les algorithmes pris en charge pour la version spécifiée 2. Les fonctionnalités disponibles sont: cipher(chiffrements symétriques pris en charge), cipher-auth(chiffrements symétriques pris en charge qui prennent en charge le chiffrement authentifié), mac(codes d'intégrité des messages pris en charge), kex(algorithmes d'échange de clés), key(types de clés) et protocol-version(versions de protocole SSH prises en charge).

L'appel ssh -Q keyvous donne ce que vous voulez:

ssh -Q key
ssh-ed25519
[email protected]
ssh-rsa
ssh-dss
ecdsa-sha2-nistp256
ecdsa-sha2-nistp384
ecdsa-sha2-nistp521
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

Il s'agit d'une nouvelle fonctionnalité dans openssh-7.0, alors n'oubliez pas qu'elle ne doit pas fonctionner dans les anciennes versions.

ssh-dsale type de clé est ssh-dsset il est désactivé par défaut dans cette version.

Jakuje
la source
Merci. Dans quelle page de manuel étiez-vous?
2015
2
"Le type de clé ssh-dsa est ssh-dss et il est désactivé par défaut dans cette version." - OK merci. Y a-t-il une raison pour laquelle il est désactivé par défaut? DSA2 a 112 bits de sécurité (équivalent à RSA 2048 bits), donc ce n'est pas faible / blessé comme un module de 512 bits ou 768 bits. En outre, DSS inclut RSA et ECDSA, donc son DSA clairement désactivant, et non DSS.
2015 à 13h16
1
Pas dans les pages de manuel ici avec Fedora 23 beta; mais la clé ssh -Q fonctionne. Malheureusement, les clés de ma machine ne sont pas prises en charge maintenant.
mikebabcock
3
@ PavelŠimerda Comment est-ce lié au DNS? Vous voulez dire DSA? C'est exactement ce à quoi sert l' PubkeyAcceptedKeyTypesoption. Si vous l'ajoutez à votre ssh_config avec une +ssh-dssvaleur, vous devriez pouvoir accepter les clés DSA sur le serveur. Sur le serveur, vous pouvez utiliser HostKeyAlgorithmscomme décrit dans les notes de publication: openssh.com/txt/release-7.0
Jakuje
1
@DavidFaure Il n'explique pas pourquoi, il a été désactivé, il dit simplement qu'il a été désactivé et comment le gérer
Jakuje
0

Pour référence, une réponse publiée dans unix.stackexchange.com nous a aidés à résoudre le problème:

La nouvelle version openssh (7.0+) a abandonné les clés DSA et n'utilise pas les clés DSA par défaut (ni sur le serveur ni sur le client). Les clés ne sont plus préférées pour être utilisées, donc si vous le pouvez, je recommanderais d'utiliser des clés RSA lorsque cela est possible.

Si vous avez vraiment besoin d'utiliser des clés DSA, vous devez les autoriser explicitement dans votre configuration client en utilisant

PubkeyAcceptedKeyTypes + ssh-dss Devrait être suffisant pour mettre cette ligne dans ~ / .ssh / config, comme le message détaillé essaie de vous le dire.

/unix//a/247614/39540

Meetai.com
la source