默认 SSH 服务器配置
如果您有几年前的 SSH 客户端,可能在连接到实例时会看到一个错误。如果该错误告诉您未找到匹配的主机密钥类型,请更新您的 SSH 主机密钥来解决此问题。
默认禁用 ssh-rsa 签名
AL2023 包括一个默认配置,该配置会禁用传统ssh-rsa的主机密钥算法并生成一组简化的主机密钥。客户端必须支持 ssh-ed25519 或 ecdsa-sha2-nistp256 主机密钥算法。
该默认配置接受以下任一密钥交换算法:
curve25519-sha256
ecdh-sha2-nistp256
ecdh-sha2-nistp384
ecdh-sha2-nistp521
diffie-hellman-group-exchange-sha256
diffie-hellman-group14-sha256
diffie-hellman-group16-sha512
diffie-hellman-group18-sha512
默认情况下,AL2023 生成 ed25519 和 ECDSA 主机密钥。客户端支持 ssh-ed25519 或 ecdsa-sha2-nistp256 主机密钥算法。当您通过 SSH 连接到实例时,必须使用支持兼容算法(例如 ssh-ed25519 或 ecdsa-sha2-nistp256)的客户端。如果您需要使用其他密钥类型,请使用用户数据中的一个 cloud-config 片段覆盖生成的密钥列表。
在以下示例中,cloud-config 使用 ecdsa 和 ed25519 密钥生成一个 rsa 主机密钥。
#cloud-config
ssh_genkeytypes:
- ed25519
- ecdsa
- rsa
如果您使用 RSA 密钥对进行公钥身份验证,则您的 SSH 客户端必须支持 rsa-sha2-256 或 rsa-sha2-512 签名。如果您使用的是不兼容的客户端并且无法升级,请在您的实例上重新启用 ssh-rsa 支持。要重新启用ssh-rsa支持,请使用以下命令激活LEGACY系统加密策略。
sudo dnf install crypto-policies-scripts
sudo update-crypto-policies --set LEGACY