Options obsolètes lors du redémarrage de openssh dans Stretch

20

Aujourd'hui, après avoir fait des mises à jour dans Debian Stretch, il a commencé à afficher ces avertissements lors du redémarrage du sshservice avec ma configuration actuelle:

/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication
[....] Restarting OpenBSD Secure Shell server: sshd
/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication

Que se passe-t-il ici?

Utiliser Debian 9 avec OpenSSH 7.4

Rui F Ribeiro
la source

Réponses:

26

Dans la mise à jour Stretch actuelle, la opensshversion est passée de 7.3 à 7.4, publiée le 2016-Dec-19.

Comme cela peut être déduit des notes de publication et des commentaires de @Jakuje, les responsables d'OpenSSH ont définitivement supprimé les options de configuration correspondantes, car elles sont obsolètes.

Ainsi, les lignes peuvent être supprimées en toute sécurité.

Prenez également la tête de:

Avis de dépréciation futur

Nous prévoyons de supprimer davantage de cryptographie héritée dans les prochaines versions, en particulier:

  • Vers le mois d'août 2017, suppression de la prise en charge restante du
    protocole SSH v.1 (client uniquement et actuellement à la compilation désactivé).

  • Dans la même version, suppression de la prise en charge des chiffres Blowfish et RC4 et du RIPE-MD160 HMAC. (Ceux-ci sont actuellement désactivés au moment de l'exécution).

  • Refuser toutes les clés RSA inférieures à 1024 bits (le minimum actuel
    est de 768 bits)

  • La prochaine version d'OpenSSH supprimera la prise en charge de l'exécution de sshd (8) avec la séparation des privilèges désactivée.

  • La prochaine version d'OpenSSH portable supprimera la prise en charge de la
    version d'OpenSSL antérieure à 1.0.1.

Rui F Ribeiro
la source
2
Nan. Cette fonctionnalité a disparu pour quelques versions. Maintenant, ils n'ont supprimé que les options de configuration (car ils n'ont eu aucun effet sur SSH2). Le problème est que vous avez un fichier de configuration non expédié par votre distribution depuis un certain temps (contenant ces options).
Jakuje
@Jakuje Intéressant, je n'ai vraiment pas prêté attention à la remarque réservée aux clients dans les notes de version jusqu'à présent.
Rui F Ribeiro
19

Vous pouvez supprimer les lignes de configuration obsolètes avec ceci:

sed -i '/KeyRegenerationInterval/d' /etc/ssh/sshd_config
sed -i '/ServerKeyBits/d' /etc/ssh/sshd_config
sed -i '/RSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/RhostsRSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/UsePrivilegeSeparation/d' /etc/ssh/sshd_config

Et redémarrez le démon SSH: systemctl restart sshd

Xdg
la source
3
Salut, félicitations pour ton premier post. bien que votre réponse soit techniquement correcte, la question concerne plus whysque comment le faire.
Rui F Ribeiro
1
Ouais, tu as raison, merci de l'avoir souligné.
Xdg
1
Néanmoins, c'est une réponse utile.
Jasen
1
..et confirme qu'il est possible de le faire sans nécessiter de nouvelles options préférées introduites?
mckenzm