Stretchでopensshを再起動する際の非推奨オプション
今日、Debian Stretchで更新を行った後、現在の構成でsshサービスを再起動すると、これらの警告が表示され始めました:
/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication
[....] Restarting OpenBSD Secure Shell server: sshd
/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication
ここで何が起きてるの?
OpenSSH 7.4でDebian 9を使用する
現在のStretchアップデートでは、opensshバージョンが7.3から7.4に変更され、2016年12月19日にリリースされました。
リリースノートや@Jakujeコメントから推測できるように、OpenSSHのメンテナーは、対応する構成オプションを廃止するために廃止しました。
したがって、行を安全に削除できます。
また、次のことを頭に入れてください。
今後のサポート終了のお知らせ
具体的には、今後のリリースでレガシー暗号を廃止する予定です。具体的には次のとおりです。
2017年8月頃に、
SSH v.1プロトコル(クライアントのみで、現在コンパイル時は無効)。同じリリースで、BlowfishおよびRC4暗号とRIPE-MD160 HMACのサポートが削除されました。 (これらは現在実行時に無効になっています)。
1024ビット(現在の最小値)より小さいすべてのRSA鍵を拒否する
は768ビットです)OpenSSHの次のリリースでは、権限分離を無効にしてsshd(8)を実行するためのサポートが削除されます。
ポータブルOpenSSHの次のリリースでは、
1.0.1より前のOpenSSLバージョン。
これで非推奨の構成行を削除できます:
sed -i '/KeyRegenerationInterval/d' /etc/ssh/sshd_config
sed -i '/ServerKeyBits/d' /etc/ssh/sshd_config
sed -i '/RSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/RhostsRSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/UsePrivilegeSeparation/d' /etc/ssh/sshd_config
SSHデーモンを再起動します:systemctl restart sshd