Opciones obsoletas al reiniciar openssh en Stretch

20

Hoy, después de hacer actualizaciones en Debian Stretch, comenzó a mostrar estas advertencias al reiniciar el sshservicio con mi configuración actual:

/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication
[....] Restarting OpenBSD Secure Shell server: sshd
/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication

¿Que está sucediendo aquí?

Usando Debian 9 con OpenSSH 7.4

debian openssh Rui F Ribeiro
fuente

Respuestas:

26

En la actualización actual de Stretch, la opensshversión cambió de 7.3 a 7.4, lanzada el 19 de diciembre de 2016.

Como se puede deducir de las notas de la versión y de los comentarios de @Jakuje, los mantenedores de OpenSSH han eliminado las opciones de configuración correspondientes para siempre, ya que son obsoletas.

Por lo tanto, las líneas se pueden quitar de forma segura.

Además, encabeza:

Notificación de desaprobación futura

Planeamos retirar más criptografía heredada en futuras versiones, específicamente:

  • Aproximadamente en agosto de 2017, eliminando el soporte restante para el
    protocolo SSH v.1 (solo para clientes y actualmente en tiempo de compilación deshabilitado).

  • En la misma versión, se eliminó la compatibilidad con los cifrados Blowfish y RC4 y el RIPE-MD160 HMAC. (Actualmente están deshabilitados en tiempo de ejecución).

  • Rechazar todas las claves RSA menores de 1024 bits (el mínimo actual
    es de 768 bits)

  • La próxima versión de OpenSSH eliminará la compatibilidad para ejecutar sshd (8) con la separación de privilegios desactivada.

  • La próxima versión de OpenSSH portátil eliminará la compatibilidad con la
    versión de OpenSSL anterior a la 1.0.1.

Rui F Ribeiro
fuente
2
no Esta funcionalidad se ha ido para algunas versiones. Ahora solo eliminaron las opciones de configuración (porque no tuvieron ningún efecto en SSH2). El problema es que tiene un archivo de configuración no enviado por su distribución durante algún tiempo (que contiene estas opciones).
Jakuje
@Jakuje Interesante, hasta ahora no presté atención al comentario solo para clientes en las notas de la versión.
Rui F Ribeiro
19

Puede eliminar líneas de configuración obsoletas con esto:

sed -i '/KeyRegenerationInterval/d' /etc/ssh/sshd_config
sed -i '/ServerKeyBits/d' /etc/ssh/sshd_config
sed -i '/RSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/RhostsRSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/UsePrivilegeSeparation/d' /etc/ssh/sshd_config

Y reinicie el demonio SSH: systemctl restart sshd

Xdg
fuente
3
Hola, felicidades por tu primer post. Si bien su respuesta es técnicamente correcta, la pregunta tiene más que ver con whyscómo hacerlo.
Rui F Ribeiro
1
Sí, tienes razón, gracias por señalarlo.
Xdg
1
Sin embargo, esta es una respuesta útil.
Jasen
1
... y confirma que es seguro hacerlo sin requerir ninguna opción preferida recién introducida?
mckenzm