Opções obsoletas ao reiniciar o openssh no Stretch

20

Hoje, depois de fazer atualizações no Debian Stretch, ele começou a exibir esses avisos ao reiniciar o sshserviço com minha configuração atual:

/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication
[....] Restarting OpenBSD Secure Shell server: sshd
/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication

O que esta acontecendo aqui?

Usando o Debian 9 com o OpenSSH 7.4

Rui F Ribeiro
fonte

Respostas:

26

Na atualização atual do Stretch, a opensshversão foi alterada de 7.3 para 7.4, lançada em 19 de dezembro de 2016.

Como pode ser deduzido nas notas de versão e nos comentários do @Jakuje, os mantenedores do OpenSSH removeram as opções de configuração correspondentes definitivamente, pois são obsoletas.

Para que as linhas possam ser removidas com segurança.

Além disso, assuma o comando de:

Aviso de descontinuação futura

Planejamos retirar mais criptografia herdada em versões futuras, especificamente:

  • Em aproximadamente agosto de 2017, removendo o suporte restante para o
    protocolo SSH v.1 (somente cliente e atualmente compilado desativado).

  • Na mesma versão, removendo o suporte para as cifras Blowfish e RC4 e o HMAC RIPE-MD160. (Atualmente, eles estão desativados no tempo de execução).

  • Recusando todas as chaves RSA menores que 1024 bits (o mínimo atual
    é 768 bits)

  • A próxima versão do OpenSSH removerá o suporte à execução do sshd (8) com a separação de privilégios desativada.

  • A próxima versão do OpenSSH portátil removerá o suporte para a
    versão OpenSSL anterior à 1.0.1.

Rui F Ribeiro
fonte
2
Não. Essa funcionalidade foi removida para algumas versões. Agora eles apenas removeram as opções de configuração (porque não tiveram nenhum efeito no SSH2). O problema é que você tem um arquivo de configuração que não é enviado pela sua distribuição há algum tempo (contendo essas opções).
Jakuje 16/01
@Jakuje Interessante, eu realmente não prestei atenção ao comentário somente do cliente nas notas de lançamento até agora.
Rui F Ribeiro
19

Você pode remover linhas de configuração obsoletas com isso:

sed -i '/KeyRegenerationInterval/d' /etc/ssh/sshd_config
sed -i '/ServerKeyBits/d' /etc/ssh/sshd_config
sed -i '/RSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/RhostsRSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/UsePrivilegeSeparation/d' /etc/ssh/sshd_config

E reinicie o daemon SSH: systemctl restart sshd

Xdg
fonte
3
Olá, parabéns pelo seu primeiro post. Embora sua resposta esteja tecnicamente correta, a questão está mais preocupada em whyssaber como fazê-lo.
Rui F Ribeiro
1
Sim, você está certo, obrigado por apontar.
Xdg 31/05
1
No entanto, esta é uma resposta útil.
Jasen
1
..e confirma que é seguro fazê-lo sem exigir nenhuma opção preferida recém- introduzida?
mckenzm 4/07