Configuração do servidor SSH padrão

Se você tem clientes SSH de vários anos atrás, talvez veja um erro ao se conectar a uma instância. Se o erro indicar que não foi encontrado nenhum tipo de chave de host correspondente, atualize sua chave de host SSH para solucionar esse problema.

Desativação padrão de assinaturas ssh-rsa

O AL2023 inclui uma configuração padrão que desativa o algoritmo de chave de ssh-rsa host herdado e gera um conjunto reduzido de chaves de host. Os clientes devem oferecer suporte ao algoritmo da chave de host ssh-ed25519 ou ecdsa-sha2-nistp256ao algoritmo da chave do host.

A configuração padrão aceita qualquer um desses algoritmos de troca de chaves:

Por padrão, o AL2023 gera chaves de hospedagem ed25519 e ECDSA. Os clientes oferecem suporte ao algoritmo da chave de host ssh-ed25519 ou ecdsa-sha2-nistp256. Ao se conectar por SSH a uma instância, você deve usar um cliente que ofereça suporte a um algoritmo compatível, como ssh-ed25519 ou ecdsa-sha2-nistp256. Se você precisar usar outros tipos de chave, substitua a lista de chaves geradas por um fragmento de cloud-config nos dados do usuário.

No exemplo a seguir, cloud-config gera uma chave de de host rsa com as chaves ecdsa e ed25519.

#cloud-config 
 ssh_genkeytypes: 
 - ed25519 
 - ecdsa 
 - rsa

Se você usa um par de chaves RSA para autenticação de chave pública, seu cliente SSH deve oferecer suporte a uma assinatura rsa-sha2-256 ou rsa-sha2-512. Se você estiver usando um cliente incompatível e não conseguir fazer o upgrade, reative o suporte de ssh-rsa na sua instância. Para reativar o ssh-rsa suporte, ative a política de criptografia LEGACY do sistema usando os comandos a seguir.

$ sudo dnf install crypto-policies-scripts
$ sudo update-crypto-policies --set LEGACY

Para obter mais informações sobre o gerenciamento de chaves de host, consulte Chaves de host do Amazon Linux.