默认 SSH 服务器配置 - Amazon Linux 2023

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

默认 SSH 服务器配置

如果您有几年前的 SSH 客户端,可能在连接到实例时会看到一个错误。如果该错误告诉您未找到匹配的主机密钥类型,请更新您的 SSH 主机密钥来解决此问题。

默认禁用 ssh-rsa 签名

Amazon Linux 2023 (AL2023) 包含一个默认配置,该配置会禁用传统的 ssh-rsa 主机密钥算法并生成一组精简的主机密钥。客户端必须支持 ssh-ed25519ecdsa-sha2-nistp256 主机密钥算法。

该默认配置接受以下任一密钥交换算法:

  • curve25519-sha256

  • curve25519-sha256@libssh.org

  • ecdh-sha2-nistp256

  • ecdh-sha2-nistp384

  • ecdh-sha2-nistp521

  • diffie-hellman-group-exchange-sha256

  • diffie-hellman-group14-sha256

  • diffie-hellman-group16-sha512

  • diffie-hellman-group18-sha512

默认情况下,AL2023 生成 ed25519ECDSA 主机密钥。客户端支持 ssh-ed25519ecdsa-sha2-nistp256 主机密钥算法。当您通过 SSH 连接到实例时,必须使用支持兼容算法(例如 ssh-ed25519ecdsa-sha2-nistp256)的客户端。如果您需要使用其他密钥类型,请使用用户数据中的一个 cloud-config 片段覆盖生成的密钥列表。

在以下示例中,cloud-config 使用 ecdsaed25519 密钥生成一个 rsa 主机密钥。

#cloud-config ssh_genkeytypes: - ed25519 - ecdsa - rsa

如果您使用 RSA 密钥对进行公钥身份验证,则您的 SSH 客户端必须支持 rsa-sha2-256rsa-sha2-512 签名。如果您使用的是不兼容的客户端并且无法升级,请在您的实例上重新启用 ssh-rsa 支持。为此,请使用以下命令激活 LEGACY 系统加密策略。

$ sudo dnf install crypto-policies-scripts $ sudo update-crypto-policies --set LEGACY

有关管理主机密钥的更多信息,请参阅 Amazon Linux 主机密钥