Standard-SSH-Serverkonfiguration - Amazon Linux 2023

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Standard-SSH-Serverkonfiguration

Wenn Sie SSH-Clients haben, die mehrere Jahre alt sind, wird möglicherweise ein Fehler angezeigt, wenn Sie eine Verbindung zu einer Instance herstellen. Wenn Ihnen der Fehler anzeigt, dass kein passender Host-Schlüsseltyp gefunden wurde, sollten Sie Ihren SSH-Hostschlüssel aktualisieren.

Standardmäßige Deaktivierung von ssh-rsa-Signaturen

AL2023 enthält eine Standardkonfiguration, die den alten ssh-rsa Hostschlüsselalgorithmus deaktiviert und einen reduzierten Satz von Hostschlüsseln generiert. Clients müssen den ssh-ed25519- oder -ecdsa-sha2-nistp256-Host-Schlüsselalgorithmus unterstützen.

Die Standardkonfiguration akzeptiert jeden der folgenden Schlüsselaustauschalgorithmen:

  • curve25519-sha256

  • curve25519-sha256@libssh.org

  • ecdh-sha2-nistp256

  • ecdh-sha2-nistp384

  • ecdh-sha2-nistp521

  • diffie-hellman-group-exchange-sha256

  • diffie-hellman-group14-sha256

  • diffie-hellman-group16-sha512

  • diffie-hellman-group18-sha512

Standardmäßig generiert AL2023 ed25519- und ECDSA-Hostschlüssel. Clients unterstützen entweder den ssh-ed25519- oder -ecdsa-sha2-nistp256-Host-Schlüsselalgorithmus. Wenn Sie eine Verbindung zu einer Instance über SSH herstellen, müssen Sie einen Client verwenden, der einen kompatiblen Algorithmus unterstützt, z. B. ssh-ed25519 oder ecdsa-sha2-nistp256. Wenn Sie andere Schlüsseltypen verwenden müssen, überschreiben Sie die Liste der generierten Schlüssel mit einem cloud-config-Fragment in den Benutzerdaten.

Im folgenden Beispiel generiert cloud-config einen rsa Hostschlüssel mit den ed25519- und ecdsa-Schlüsseln.

#cloud-config 
 ssh_genkeytypes: 
 - ed25519 
 - ecdsa 
 - rsa

Wenn Sie ein RSA-Schlüsselpaar zur Authentifizierung eines öffentlichen Schlüssels verwenden, muss Ihr SSH-Client eine rsa-sha2-256- oder rsa-sha2-512-Signatur unterstützen. Wenn Sie einen inkompatiblen Client verwenden und daher kein Upgrade durchführen können, aktivieren Sie den ssh-rsa-Support für Ihre Instance erneut. Um die ssh-rsa Unterstützung wieder zu aktivieren, aktivieren Sie die LEGACY System-Kryptorichtlinie mit den folgenden Befehlen.

$ sudo dnf install crypto-policies-scripts
$ sudo update-crypto-policies --set LEGACY

Weitere Informationen zur Verwaltung von Hostschlüsseln finden Sie unter Amazon Linux-Hostschlüssel.