PubkeyAcceptedKeyTypes et type de clé ssh-dsa

Question

J'essaie de tester l'ordre dans lequel les clés sont essayées. Un des utilisateurs du système utilise DSA. J'essaie donc de le tester en option. Je reçois un Bad key types .

$ ssh -vv -p 1522 jwalton@192.168.1.11 OpenSSH_7.1p1, OpenSSL 1.0.2d 9 Jul 2015 debug1: Reading configuration data /Users/jwalton/.ssh/config /Users/jwalton/.ssh/config line 2: Bad key types 'ssh-ed25519,ecdsa-sha2-nistp256,ssh-dsa,ssh-rsa'.

Je l'ai réduit à ssh-dsa . Selon ssh_config(5) (fait en fait partie de sshd_config(5), mais répertoriée en tant que nouvelle fonctionnalité ssh_config dans les notes de publication OpenSSH 7.0):

 The -Q option of ssh(1) may be used to list supported key types.

Cependant, je n'arrive pas à le faire fonctionner:

riemann::~$ ssh -Q /usr/local/bin/ssh: option requires an argument -- Q riemann::~$ ssh -Q dsa Unsupported query "dsa" riemann::~$ ssh -Q ssh-dsa Unsupported query "ssh-dsa" riemann::~$ ssh -Q ed25529 Unsupported query "ed25529" riemann::~$ ssh -Q ssh-ed25529 Unsupported query "ssh-ed25529" riemann::~$ ssh -Q PubkeyAcceptedKeyTypes Unsupported query "PubkeyAcceptedKeyTypes"

Comment utilise-t-on l'option ssh -Q?

Quel est le type de clé pour ssh-dsa?

Jakuje · Accepted Answer

La lecture des pages de manuel devrait vous aider à:

 -Q cipher | cipher-auth | mac | kex | key | protocol-version 
Requêtes ssh pour les algorithmes pris en charge pour la version 2 spécifiée. Les fonctions disponibles sont les suivantes: cipher (chiffrements symétriques pris en charge), cipher-auth (chiffrements symétriques pris en charge qui prennent en charge cryptage), mac (codes d’intégrité de message pris en charge), kex (algorithmes d’échange de clé), key (types de clé) et protocol-version (versions de protocole SSH prises en charge).

Appeler ssh -Q key vous donne ce que vous voulez:

ssh -Q key ssh-ed25519 ssh-ed25519-cert-v01@openssh.com ssh-rsa ssh-dss ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521 ssh-rsa-cert-v01@openssh.com ssh-dss-cert-v01@openssh.com ecdsa-sha2-nistp256-cert-v01@openssh.com ecdsa-sha2-nistp384-cert-v01@openssh.com ecdsa-sha2-nistp521-cert-v01@openssh.com

Ceci est une nouvelle fonctionnalité dans openssh-7.0, alors rappelez-vous qu'il ne doit pas nécessairement fonctionner dans les versions antérieures.

Le type de clé ssh-dsa est ssh-dss et il est désactivé par défaut dans cette version.

Meetai.com · Answer

À titre de référence, une réponse publiée dans unix.stackexchange.com nous a aidés à résoudre le problème:

La nouvelle version openssh (7.0+) déconseille les clés DSA et n'utilise pas les clés DSA par défaut (ni sur le serveur ni sur le client). Les clés ne sont plus utilisées, alors si vous le pouviez, je vous recommanderais d'utiliser les clés RSA dans la mesure du possible.

Si vous avez vraiment besoin d’utiliser des clés DSA, vous devez les autoriser explicitement dans votre configuration client en utilisant

PubkeyAcceptedKeyTypes + ssh-dss Doit suffire à mettre cette ligne dans ~/.ssh/config, comme le message commenté essaie de vous le dire.

https://unix.stackexchange.com/a/247614/39540