Konfigurasi server SSH default

Jika Anda memiliki klien SSH dari beberapa tahun yang lalu, Anda mungkin melihat kesalahan saat Anda terhubung ke sebuah instans. Jika kesalahan memberi tahu Anda bahwa tidak ada jenis kunci host yang cocok ditemukan, perbarui kunci host SSH Anda untuk memecahkan masalah ini.

Penonaktifan tanda tangan secara default ssh-rsa

AL2023 menyertakan konfigurasi default yang menonaktifkan algoritma kunci ssh-rsa host lama dan menghasilkan serangkaian kunci host yang dikurangi. Klien harus mendukung ssh-ed25519 atau algoritma kunci ecdsa-sha2-nistp256 host.

Konfigurasi default menerima salah satu algoritma pertukaran kunci ini:

Secara default, AL2023 menghasilkan ed25519 dan ECDSA meng-host kunci. Klien mendukung baik algoritma kunci ecdsa-sha2-nistp256 host ssh-ed25519 atau host. Ketika Anda terhubung dengan SSH ke sebuah instans, Anda harus menggunakan klien yang mendukung algoritma yang kompatibel, seperti ssh-ed25519 atauecdsa-sha2-nistp256. Jika Anda perlu menggunakan tipe kunci lainnya, ganti daftar kunci yang dihasilkan dengan cloud-config fragmen dalam data pengguna.

Dalam contoh berikut, cloud-config menghasilkan kunci rsa host dengan ed25519 kunci ecdsa dan.

#cloud-config 
 ssh_genkeytypes: 
 - ed25519 
 - ecdsa 
 - rsa

Jika Anda menggunakan key pair RSA untuk otentikasi kunci publik, klien SSH Anda harus mendukung tanda tangan atau tanda rsa-sha2-256 tangan. rsa-sha2-512 Jika Anda menggunakan klien yang tidak kompatibel dan tidak dapat meningkatkan, aktifkan kembali ssh-rsa dukungan pada instans Anda. Untuk mengaktifkan kembali ssh-rsa dukungan, aktifkan kebijakan kripto LEGACY sistem menggunakan perintah berikut.

$ sudo dnf install crypto-policies-scripts
$ sudo update-crypto-policies --set LEGACY

Untuk informasi selengkapnya tentang mengelola kunci host, lihat kunci Host Amazon Linux.