openssh-server weak-dh
Добрый день!
Господа, подскажите пожалуйста, что я тут делаю не так, и как получить
рабочий ssh на этих алгоритмах?
В свете публикаций про logjam dh weak, захотелось сделать ssh
по-безопаснее.
wheezy:
> Пакет: openssh-server
> Состояние: установлен
> Автоматически установлен: да
> Мульти-архитектура: сторонняя
> Версия: 1:6.0p1-4+deb7u2
> Приоритет: необязательный
> Раздел: net
> Сопровождающий: Debian OpenSSH Maintainers <debian-ssh@lists.debian.org>
> Архитектура: amd64
> Размер в распакованном виде: 726 k
> Зависимости: libc6 (>= 2.8), libcomerr2 (>= 1.01), libgssapi-krb5-2
> (>= 1.10+dfsg~), libkrb5-3 (>= 1.6.dfsg.2), libpam0g (>= 0.99.7.1),
> libselinux1 (>= 1.32), libssl1.0.0 (>= 1.0.1), libwrap0 (>= 7.6-4~),
> zlib1g
> (>= 1:1.1.4), debconf (>= 1.2.0) |
> debconf-2.0, openssh-client (= 1:6.0p1-4+deb7u2), libpam-runtime (>=
> 0.76-14), libpam-modules (>= 0.72-9), adduser (>= 3.9), dpkg (>=
> 1.9.0), lsb-base
> (>= 3.2-13), procps
squeeze-lts:
> Пакет: openssh-server
> Состояние: установлен
> Автоматически установлен: нет
> Версия: 1:5.5p1-6+squeeze5
> Приоритет: необязательный
> Раздел: net
> Сопровождающий: Debian OpenSSH Maintainers <debian-ssh@lists.debian.org>
> Размер в распакованном виде: 778 k
> Зависимости: libc6 (>= 2.8), libcomerr2 (>= 1.01), libgssapi-krb5-2
> (>= 1.8+dfsg), libkrb5-3 (>= 1.6.dfsg.2), libpam0g (>= 0.99.7.1),
> libselinux1 (>= 1.32), libssl0.9.8 (>= 0.9.8m-1), libwrap0 (>= 7.6-4~),
> zlib1g (>= 1:1.1.4), debconf (>= 1.2.0) |
> debconf-2.0, openssh-client (= 1:5.5p1-6+squeeze5), libpam-runtime (>=
> 0.76-14), libpam-modules (>= 0.72-9), adduser (>= 3.9), dpkg (>= 1.9.0),
> lsb-base (>= 3.2-13), openssh-blacklist, procps
добавляю в /etc/ssh/sshd_config
HostKeyAlgorithms
ssh-ed25519-cert-v01@openssh.com,ssh-ed25519,ssh-rsa-cert-v01@openssh.com,ssh-rsa-cert-v00@openssh.com
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com
MACs
hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com
KexAlgorithms
curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
а он мне в ответ:
/etc/ssh/sshd_config: line 79: Bad configuration option: HostKeyAlgorithms
/etc/ssh/sshd_config line 80: Bad SSH2 cipher spec
'chacha20-poly1305@openssh.com,aes256-gcm@openssh.com'.
У меня почему-то не запускается open-ssh сервер после указания этих
алгоритмов. Придётся пакеты самому собирать(может есть кто уже собрал?),
или приставать к мейнтейнеру пакета?
Забавно, но в убунте 14.04 лтс всё заработало сразу:
> Пакет: openssh-server
> Состояние: установлен
> Автоматически установлен: нет
> Мульти-архитектура: сторонняя
> Версия: 1:6.6p1-2ubuntu2
> Приоритет: необязательный
> Раздел: net
> Сопровождающий: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
> Архитектура: amd64
> Размер в распакованном виде: 951 k
> Зависимости: libc6 (>= 2.17), libck-connector0 (>= 0.2.1), libcomerr2
> (>= 1.01), libdbus-1-3 (>= 1.0.2), libgssapi-krb5-2 (>= 1.10+dfsg~),
> libkrb5-3 (>= 1.6.dfsg.2), libpam0g (>= 0.99.7.1),
> libselinux1 (>= 1.32), libssl1.0.0 (>= 1.0.1),
> libwrap0 (>= 7.6-4~), zlib1g (>= 1:1.1.4), debconf (>= 0.5) |
> debconf-2.0, init-system-helpers (>= 1.13~),
> openssh-client (= 1:6.6p1-2ubuntu2), sysv-rc
> (>= 2.88dsf-24) | file-rc (>= 0.8.16), libpam-runtime (>= 0.76-14),
> libpam-modules (>= 0.72-9), adduser (>= 3.9), dpkg
> (>= 1.9.0), lsb-base (>= 4.1+Debian3), procps,
> openssh-sftp-server
Reply to: