Zde je otázka od pana Rameshe, jednoho z našich pravidelných čtenářů na Techglimpse. Říká, že zprávy jeho systémového protokolu jsou zaplaveny „Zastaralá možnost RSAAuthentication “.
Nedávno jsem provedl aktualizaci yum na svém CentOS VPS a později jsem viděl zprávy „sshd[11324]:rexec line 54:Deprecated option RSAAuthentication“ v /var/log/messages. Proč se mi zobrazuje tato chyba a znamená to nějaký problém se zabezpečením?
Tady je odpověď na Rameshovu otázku.
Zastaralá možnost RSAAuthentication
Vypadá to jako yum update
aktualizoval balíček OpenSSH na nejnovější verzi. Důvodem „zastaralé možnosti RSAAuthentication“ by pravděpodobně mohla být změna z nižší verze OpenSSH na 7.3+ a tato aktualizace. Od OpenSSH verze 7.3+ možnost "RSAAuthentication"
byl zastaralý, protože byl podporován pouze pro protokol SSH verze 1. Také si musíte být vědomi toho, že protokol SSH verze 1 trpí konstrukčními chybami a to může způsobit zranitelnost serverů SSH. Proto musí být démon SSH nakonfigurován tak, aby používal pouze protokol SSH verze 2.
Chcete-li to provést, upravte konfigurační soubor SSH a nastavte Protocol 2
jak je uvedeno níže:
# vim /etc/ssh/sshd_config
Vyhledejte 'Protocol'
a nastavte hodnotu 2
.
A nyní se vracíme k otázce, RSAAuthentication je podporována pouze pro SSH Protocol verze 1 a neměla by být používána pro SSH Protocol verze 2. Navíc zpráva „Zastaralá možnost RSAAuthentication“ jasně říká, že byste nikdy neměli používat tuto možnost pro nejnovější verze OpenSSH.
Spusťte níže uvedený příkaz a zkontrolujte verzi OpenSSH nainstalovanou ve vašem systému.
# rpm -qa |grep openssh-server openssh-server-7.4p1-13.el7_4.x86_64
Pokud je verze OpenSSH vyšší než 7.3+, můžete bezpečně odebrat možnost "RSAAuthentication"
z sshd_config
.
# vim /etc/ssh/sshd_config
Vyhledejte možnost 'RSAAuthentication'
a okomentovat to. Podobně můžete chtít deaktivovat další zastaralé možnosti, jako je RhostsRSAAuthentication
.
Restartujte sshd
Zkontrolujte, zda v sshd_config
nejsou nějaké chyby před restartováním služby.
# /usr/sbin/sshd -t
# systemctl status sshd
A je to! “Zastaralá možnost RSAAuthentication” by měla zmizet z vašich systémových protokolových souborů.