Configurazione del server SSH predefinita

Se disponi di client SSH risalenti a diversi anni fa, potresti visualizzare un errore quando ti connetti a un'istanza. Se l'errore indica che non è stato trovato alcun tipo di chiave host corrispondente, aggiorna la chiave host SSH per risolvere il problema.

Disabilitazione predefinita delle firme ssh-rsa

AL2023 include una configurazione predefinita che disabilita l'algoritmo della chiave ssh-rsa host legacy e genera un set ridotto di chiavi host. I client devono supportare ssh-ed25519 o l'algoritmo delle chiavi host ecdsa-sha2-nistp256.

La configurazione predefinita accetta uno qualsiasi di questi algoritmi di scambio delle chiavi:

Per impostazione predefinita, AL2 023 genera ed25519 e ECDSA ospita le chiavi. I client supportano ssh-ed25519 o l'algoritmo delle chiavi host ecdsa-sha2-nistp256. Quando ti connetti tramite SSH a un'istanza, devi usare un client che supporti un algoritmo compatibile, ad esempio ssh-ed25519 o ecdsa-sha2-nistp256. Se devi usare altri tipi di chiave, sostituisci l'elenco delle chiavi generate con un frammento cloud-config nei dati utente.

Nell'esempio seguente, cloud-config genera una chiave host rsa con le chiavi ecdsa e ed25519.

#cloud-config 
 ssh_genkeytypes: 
 - ed25519 
 - ecdsa 
 - rsa

Se usi una coppia di chiavi RSA per l'autenticazione della chiave pubblica, il client SSH deve supportare una firma rsa-sha2-256 o rsa-sha2-512. Se usi un client incompatibile e non riesci a eseguire l'aggiornamento, riabilita il supporto per ssh-rsa nell'istanza. Per riattivare ssh-rsa il supporto, attiva la policy di crittografia LEGACY del sistema utilizzando i seguenti comandi.

$ sudo dnf install crypto-policies-scripts
$ sudo update-crypto-policies --set LEGACY

Per ulteriori informazioni sulla gestione delle chiavi host, consulta Amazon Linux Host keys.