Configuration du serveur SSH par défaut

Si vous avez des clients SSH datant d'il y a plusieurs années, il se peut qu'une erreur s'affiche lorsque vous vous connectez à une instance. Si l'erreur indique qu'aucun type de clé d'hôte correspondant n'a été trouvé, mettez à jour la clé d'hôte SSH pour résoudre ce problème.

Désactivation des signatures ssh-rsa par défaut

L'AL2023 inclut une configuration par défaut qui désactive l'ancien algorithme de clé ssh-rsa d'hôte et génère un ensemble réduit de clés d'hôte. Les clients doivent prendre en charge l'algorithme de clé d'hôte ssh-ed25519 ou ecdsa-sha2-nistp256.

La configuration par défaut accepte n'importe lequel de ces algorithmes d'échange de clés :

Par défaut, AL2023 génère les clés d'hôte ed25519 et ECDSA. Les clients prennent en charge l'algorithme de clé d'hôte ssh-ed25519 ou ecdsa-sha2-nistp256. Lorsque vous vous connectez par SSH à une instance, vous devez utiliser un client qui prend en charge un algorithme compatible, comme ssh-ed25519 ou ecdsa-sha2-nistp256. Si vous devez utiliser d'autres types de clés, remplacez la liste des clés générées par un fragment cloud-config de données utilisateur.

Dans l'exemple suivant, cloud-config génère une clé d'hôte rsa avec les clés ed25519 et ecdsa.

#cloud-config 
 ssh_genkeytypes: 
 - ed25519 
 - ecdsa 
 - rsa

Si vous utilisez une paire de clés RSA pour l'authentification par clé publique, votre client SSH doit prendre en charge une signature rsa-sha2-256 ou rsa-sha2-512. Si vous utilisez un client incompatible et que vous ne pouvez pas effectuer de mise à niveau, réactivez la prise en charge de ssh-rsa sur votre instance. Pour réactiver le ssh-rsa support, activez la politique de chiffrement LEGACY du système à l'aide des commandes suivantes.

$ sudo dnf install crypto-policies-scripts
$ sudo update-crypto-policies --set LEGACY

Pour plus d'informations sur la gestion des clés d'hôte, consultez la section Amazon Linux Host keys.