История изменений
Исправление Bass, (текущая версия) :
Update: по поводу второго вопроса в моём сообщении:
я правильно понимаю, что … на серверной стороне нельзя включить принудительное использование
rsa-sha2-512/256
, и в результате приходится отключатьssh-rsa
целиком?
– я таки разобрался. На своём сервере всё можно:
HostKeyAlgorithms ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com
В результате ssh-audit
будет выдавать нечто подобное:
# host-key algorithms
(key) ssh-ed25519 -- [info] available since OpenSSH 6.5
(key) rsa-sha2-512 (2048-bit) -- [info] available since OpenSSH 7.2
(key) rsa-sha2-256 (2048-bit) -- [info] available since OpenSSH 7.2
Другое дело, что ButBucket умеет только
# host-key algorithms
(key) ssh-dss -- [fail] using small 1024-bit modulus
`- [fail] removed (in server) and disabled (in client) since OpenSSH 7.0, weak algorithm
`- [warn] using weak random number generator could reveal the key
`- [info] available since OpenSSH 2.1.0, Dropbear SSH 0.28
(key) ssh-rsa (2048-bit) -- [fail] using weak hashing algorithm
`- [info] available since OpenSSH 2.5.0, Dropbear SSH 0.28
`- [info] a future deprecation notice has been issued in OpenSSH 8.2: https://www.openssh.com/txt/release-8.2
В этом смысле, GitHub и GitLab предпочтительнее, а упомянутая статья позорит собственный же сервис ButBucket, принадлежащий тому же Atlassian.
И да, дело не в формате ключа. RSA-ключами можно пользоваться и впредь, и совсем не обязательно мигрировать на Ed25519.
Достаточно лишь на собственных SSH-серверах, если их версия ниже, чем 8.2, убрать ssh-rsa
из списка HostKeyAlgorithms
.
Исходная версия Bass, :
Update: по поводу второго вопроса в моём сообщении:
я правильно понимаю, что … на серверной стороне нельзя включить принудительное использование
rsa-sha2-512/256
, и в результате приходится отключатьssh-rsa
целиком?
– я таки разобрался. На своём сервере всё можно:
HostKeyAlgorithms ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256,rsa-sha2-256-cert-v01@openssh.com
В результате ssh-audit
будет выдавать нечто подобное:
# host-key algorithms
(key) ssh-ed25519 -- [info] available since OpenSSH 6.5
(key) rsa-sha2-512 (2048-bit) -- [info] available since OpenSSH 7.2
(key) rsa-sha2-256 (2048-bit) -- [info] available since OpenSSH 7.2
Другое дело, что ButBucket умеет только
# host-key algorithms
(key) ssh-dss -- [fail] using small 1024-bit modulus
`- [fail] removed (in server) and disabled (in client) since OpenSSH 7.0, weak algorithm
`- [warn] using weak random number generator could reveal the key
`- [info] available since OpenSSH 2.1.0, Dropbear SSH 0.28
(key) ssh-rsa (2048-bit) -- [fail] using weak hashing algorithm
`- [info] available since OpenSSH 2.5.0, Dropbear SSH 0.28
`- [info] a future deprecation notice has been issued in OpenSSH 8.2: https://www.openssh.com/txt/release-8.2