デフォルトの SSH サーバー設定 - Amazon Linux 2023

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

デフォルトの SSH サーバー設定

数年前の SSH クライアントを使用している場合、インスタンスに接続するとエラーが表示される可能性があります。一致するホストキータイプが見つからないというエラーが表示された場合は、SSH ホストキーを更新してこの問題を解決します。

デフォルトの ssh-rsa 署名の無効化

AL2023 には、レガシーssh-rsaホストキーアルゴリズムを無効にし、ホストキーのセットを減らすデフォルト設定が含まれています。クライアントは ssh-ed25519 または ecdsa-sha2-nistp256 ホストキーアルゴリズムをサポートする必要があります。

デフォルト設定では以下のキー交換アルゴリズムを受け入れます。

  • curve25519-sha256

  • curve25519-sha256@libssh.org

  • ecdh-sha2-nistp256

  • ecdh-sha2-nistp384

  • ecdh-sha2-nistp521

  • diffie-hellman-group-exchange-sha256

  • diffie-hellman-group14-sha256

  • diffie-hellman-group16-sha512

  • diffie-hellman-group18-sha512

デフォルトでは、AL2023 は ed25519 および ECDSA はホストキーを生成します。クライアントは ssh-ed25519 または ecdsa-sha2-nistp256 ホストキーアルゴリズムのいずれかをサポートします。SSH でインスタンスに接続する場合、ssh-ed25519 または ecdsa-sha2-nistp256 などの互換性のあるアルゴリズムをサポートするクライアントを使用する必要があります。他の種類のキーを使用する必要がある場合は、生成されたキーのリストを user-data 内の cloud-config フラグメントで上書きします。

以下の例では、cloud-configecdsa および ed25519 キーを使用して rsa ホストキーを生成します。

#cloud-config 
 ssh_genkeytypes: 
 - ed25519 
 - ecdsa 
 - rsa

公開キー認証に RSA キーペアを使用する場合、SSH クライアントは rsa-sha2-256 または rsa-sha2-512 署名をサポートしている必要があります。互換性のないクライアントを使用していてアップグレードできない場合は、インスタンスの ssh-rsa サポートを再度有効にします。ssh-rsa サポートを再度有効にするには、次のコマンドを使用してLEGACYシステム暗号化ポリシーをアクティブ化します。

$ sudo dnf install crypto-policies-scripts
$ sudo update-crypto-policies --set LEGACY

ホストキーの管理の詳細については、「Amazon Linux ホストキー」を参照してください。