Застарілі параметри при перезапуску opensh у Stretch

20

Сьогодні після оновлення в Debian Stretch він почав відображати ці попередження під час перезавантаження sshслужби з моїм поточним конфігурацією:

/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication
[....] Restarting OpenBSD Secure Shell server: sshd
/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication

Що тут відбувається?

Використання Debian 9 з OpenSSH 7.4

debian  openssh 
Rui F Ribeiro
джерело

Відповіді:

26

У поточному оновленні Stretch opensshверсія змінилася з 7,3 до 7,4, випущена 2016-грудня-19.

Як це можна зробити з приміток до випуску та з коментарів @Jakuje, керівники OpenSSH назавжди видалили відповідні параметри конфігурації, оскільки вони застаріли.

Тож лінії можна буде безпечно видалити.

Також візьміть за голову:

Повідомлення про депресію в майбутньому

Ми плануємо залишити більше застарілої криптографії в майбутніх випусках, зокрема:

  • Приблизно в серпні 2017 року видаляється залишилася підтримка
    протоколу SSH v.1 (лише клієнт і час відключення).

  • У цьому ж випуску видаляється підтримка шифрів Blowfish та RC4 та HMAC RIPE-MD160. (Зараз вони відключені).

  • Відмова від усіх ключів RSA розміром менше 1024 біт (поточний мінімум
    - 768 біт)

  • Наступний випуск OpenSSH видалить підтримку запуску sshd (8) з вимкненим розділенням привілеїв.

  • Наступний випуск портативного OpenSSH видалить підтримку
    версії OpenSSL до версії 1.0.1.

Rui F Ribeiro
джерело
2
ніпе. Ця функціональність відсутня для кількох версій. Тепер вони видалили лише параметри конфігурації (оскільки вони не мали жодного впливу на SSH2). Проблема полягає в тому, що у вас є файл конфігурації, який не постачається вашим дистрибутивом протягом певного часу (містить ці параметри).
Jakuje
@Jakuje Цікаво, що я дійсно до цього часу не звертав уваги на зауваження лише для клієнтів у нотатках до випуску.
Rui F Ribeiro
19

Ви можете видалити застарілі конфігураційні лінії за допомогою цього:

sed -i '/KeyRegenerationInterval/d' /etc/ssh/sshd_config
sed -i '/ServerKeyBits/d' /etc/ssh/sshd_config
sed -i '/RSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/RhostsRSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/UsePrivilegeSeparation/d' /etc/ssh/sshd_config

І перезапустіть демон SSH: systemctl restart sshd

Xdg
джерело
3
Привіт, вітаю з першим дописом. хоча ваша відповідь технічно правильна, питання більше стосується того, whysяк це зробити.
Rui F Ribeiro
1
Так, ти маєш рацію, дякую, що вказав.
Xdg
1
Тим не менш, це корисна відповідь.
Ясен
1
..і підтверджує, що це безпечно робити, не вимагаючи жодних нововведених бажаних варіантів?
mckenzm
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.