Configuración predeterminada del servidor SSH

Si tiene clientes SSH de hace varios años, es posible que vea un error al conectarse a una instancia. Si el error indica que no se ha encontrado un tipo de clave de host coincidente, actualice su clave de host SSH para solucionar este problema.

Desactivación predeterminada de las firmas ssh-rsa

El AL2023 incluye una configuración predeterminada que desactiva el algoritmo de clave de ssh-rsa host heredado y genera un conjunto reducido de claves de host. Los clientes deben admitir el algoritmo de clave de host ssh-ed25519 o el algoritmo de clave de host ecdsa-sha2-nistp256.

La configuración predeterminada acepta cualquiera de estos algoritmos de intercambio de claves:

De forma predeterminada, AL2023 genera las claves de host ed25519 y ECDSA. Los clientes admiten el algoritmo de clave de host ssh-ed25519 o el algoritmo de clave de host ecdsa-sha2-nistp256. Cuando se conecta mediante SSH a una instancia, debe usar un cliente que admita un algoritmo compatible, como ssh-ed25519 o ecdsa-sha2-nistp256. Si necesita usar otros tipos de claves, anule la lista de claves generadas con un fragmento cloud-config en los datos de usuario.

En el siguiente ejemplo, cloud-config genera una clave de host rsa con las claves ecdsa y ed25519.

#cloud-config 
 ssh_genkeytypes: 
 - ed25519 
 - ecdsa 
 - rsa

Si utiliza un par de claves RSA para la autenticación de clave pública, su cliente SSH debe admitir una firma rsa-sha2-256 orsa-sha2-512. Si utiliza un cliente incompatible y no puede actualizarlo, vuelva a habilitar la compatibilidad ssh-rsa en su instancia. Para volver a habilitar el ssh-rsa soporte, active la política de cifrado LEGACY del sistema mediante los siguientes comandos.

$ sudo dnf install crypto-policies-scripts
$ sudo update-crypto-policies --set LEGACY

Para obtener más información sobre la administración de claves de host, consulte Claves de host de Amazon Linux.