Veraltete Optionen beim Neustart von openssh in Stretch

20

Heute, nachdem Updates in Debian Stretch durchgeführt wurden, wurden folgende Warnungen angezeigt, wenn der sshDienst mit meiner aktuellen Konfiguration neu gestartet wurde :

/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication
[....] Restarting OpenBSD Secure Shell server: sshd
/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication

Was passiert hier?

Verwendung von Debian 9 mit OpenSSH 7.4

Rui F Ribeiro
quelle

Antworten:

26

Im aktuellen Stretch-Update wurde die opensshVersion von 7.3 auf 7.4 geändert und am 19.12.2016 veröffentlicht.

Wie aus den Versionshinweisen und den @ Jakuje-Kommentaren hervorgeht, haben OpenSSH-Betreuer die entsprechenden Konfigurationsoptionen endgültig entfernt, da sie veraltet sind.

So können die Leitungen sicher entfernt werden.

Nehmen Sie auch den Kopf von:

Hinweis auf zukünftige Abschreibungen

Wir planen, in zukünftigen Versionen mehr ältere Kryptografie zu entfernen, insbesondere:

  • In ungefähr August 2017 wird die verbleibende Unterstützung für das
    SSH v.1-Protokoll entfernt (nur für Clients und zur Zeit zur Kompilierungszeit deaktiviert).

  • In derselben Version wird die Unterstützung für Blowfish- und RC4-Chiffren sowie den HMAC RIPE-MD160 entfernt. (Diese sind derzeit zur Laufzeit deaktiviert).

  • Ablehnung aller RSA-Schlüssel, die kleiner als 1024 Bit sind (das aktuelle Minimum
    sind 768 Bit)

  • In der nächsten Version von OpenSSH wird die Unterstützung für das Ausführen von sshd (8) mit deaktivierter Berechtigungstrennung entfernt.

  • Die nächste Version von Portable OpenSSH entfernt die Unterstützung für
    OpenSSL-Versionen vor 1.0.1.

Rui F Ribeiro
quelle
2
Nee. Diese Funktionalität ist für einige Versionen nicht mehr verfügbar. Jetzt haben sie nur die Konfigurationsoptionen entfernt (da sie keinen Einfluss auf SSH2 hatten). Das Problem ist, dass Ihre Distribution seit einiger Zeit keine Konfigurationsdatei mehr ausgeliefert hat (die diese Optionen enthält).
Jakuje
@Jakuje Interessant, ich habe bisher wirklich nicht auf die Client-only-Bemerkung in den Release Notes geachtet.
Rui F Ribeiro
19

Sie können veraltete Konfigurationszeilen folgendermaßen entfernen:

sed -i '/KeyRegenerationInterval/d' /etc/ssh/sshd_config
sed -i '/ServerKeyBits/d' /etc/ssh/sshd_config
sed -i '/RSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/RhostsRSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/UsePrivilegeSeparation/d' /etc/ssh/sshd_config

Und starte den SSH-Daemon neu: systemctl restart sshd

Xdg
quelle
3
Hallo, herzlichen Glückwunsch zu deinem ersten Beitrag. Ihre Antwort ist zwar technisch korrekt, die Frage beschäftigt sich jedoch mehr mit der whysVorgehensweise als mit der Vorgehensweise.
Rui F Ribeiro
1
Ja, du hast recht, danke für den Hinweis.
Xdg
1
Trotzdem ist dies eine nützliche Antwort.
Jasen
1
..und bestätigt, dass dies sicher ist, ohne dass neu eingeführte bevorzugte Optionen erforderlich sind ?
McKenzm