LINUX.ORG.RU

История изменений

Исправление Bass, (текущая версия) :

Update: по поводу второго вопроса в моём сообщении:

я правильно понимаю, что … на серверной стороне нельзя включить принудительное использование rsa-sha2-512/256, и в результате приходится отключать ssh-rsa целиком?

– я таки разобрался. На своём сервере всё можно:

HostKeyAlgorithms ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com

В результате ssh-audit будет выдавать нечто подобное:

# host-key algorithms
(key) ssh-ed25519                           -- [info] available since OpenSSH 6.5
(key) rsa-sha2-512 (2048-bit)               -- [info] available since OpenSSH 7.2
(key) rsa-sha2-256 (2048-bit)               -- [info] available since OpenSSH 7.2

Другое дело, что ButBucket умеет только

# host-key algorithms
(key) ssh-dss                        -- [fail] using small 1024-bit modulus
                                     `- [fail] removed (in server) and disabled (in client) since OpenSSH 7.0, weak algorithm
                                     `- [warn] using weak random number generator could reveal the key
                                     `- [info] available since OpenSSH 2.1.0, Dropbear SSH 0.28
(key) ssh-rsa (2048-bit)             -- [fail] using weak hashing algorithm
                                     `- [info] available since OpenSSH 2.5.0, Dropbear SSH 0.28
                                     `- [info] a future deprecation notice has been issued in OpenSSH 8.2: https://www.openssh.com/txt/release-8.2

В этом смысле, GitHub и GitLab предпочтительнее, а упомянутая статья позорит собственный же сервис ButBucket, принадлежащий тому же Atlassian.

И да, дело не в формате ключа. RSA-ключами можно пользоваться и впредь, и совсем не обязательно мигрировать на Ed25519.

Достаточно лишь на собственных SSH-серверах, если их версия ниже, чем 8.2, убрать ssh-rsa из списка HostKeyAlgorithms.

Исходная версия Bass, :

Update: по поводу второго вопроса в моём сообщении:

я правильно понимаю, что … на серверной стороне нельзя включить принудительное использование rsa-sha2-512/256, и в результате приходится отключать ssh-rsa целиком?

– я таки разобрался. На своём сервере всё можно:

HostKeyAlgorithms ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com

В результате ssh-audit будет выдавать нечто подобное:

# host-key algorithms
(key) ssh-ed25519                           -- [info] available since OpenSSH 6.5
(key) rsa-sha2-512 (2048-bit)               -- [info] available since OpenSSH 7.2
(key) rsa-sha2-256 (2048-bit)               -- [info] available since OpenSSH 7.2

Другое дело, что ButBucket умеет только

# host-key algorithms
(key) ssh-dss                        -- [fail] using small 1024-bit modulus
                                     `- [fail] removed (in server) and disabled (in client) since OpenSSH 7.0, weak algorithm
                                     `- [warn] using weak random number generator could reveal the key
                                     `- [info] available since OpenSSH 2.1.0, Dropbear SSH 0.28
(key) ssh-rsa (2048-bit)             -- [fail] using weak hashing algorithm
                                     `- [info] available since OpenSSH 2.5.0, Dropbear SSH 0.28
                                     `- [info] a future deprecation notice has been issued in OpenSSH 8.2: https://www.openssh.com/txt/release-8.2