Em um Bookworm Debian 12 (executando OpenSSH_9.2), que foi atualizado recentemente do Debian 11, apenas os algoritmos de chave de host do servidor rsa-sha2-512 , rsa-sha2-256 estão disponíveis por padrão. A configuração HostKeyAlgorithms +additional-algorithm-to-use
em sshd_config (que por si só é muito básica) permite apenas a adição de ssh-rsa, mas não os outros. A página man do HostKeyAlgorithms lista o seguinte como padrão (que eu esperaria que funcionasse imediatamente):
- [e-mail protegido] ,
- [e-mail protegido] ,
- [e-mail protegido] ,
- [e-mail protegido] ,
- [e-mail protegido] ,
- [e-mail protegido] ,
- [e-mail protegido] ,
- [e-mail protegido] ,
- ssh-ed25519,
- ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,
- [e-mail protegido] ,
- [e-mail protegido] ,
- rsa-sha2-512,rsa-sha2-256
A ssh -Q HostKeyAlgorithms
consulta para algoritmos disponíveis retorna:
- ssh-ed25519
- [e-mail protegido]
- [e-mail protegido]
- [e-mail protegido]
- ecdsa-sha2-nistp256
- [e-mail protegido]
- ecdsa-sha2-nistp384
- [e-mail protegido]
- ecdsa-sha2-nistp521
- [e-mail protegido]
- [e-mail protegido]
- [e-mail protegido]
- [e-mail protegido]
- ssh-dss
- [e-mail protegido]
- ssh-rsa
- [e-mail protegido]
- rsa-sha2-256
- [e-mail protegido]
- rsa-sha2-512
- [e-mail protegido]
Por exemplo, ao tentar conectar-se do mesmo host usando ssh localhost -oHostKeyAlgorithms=ecdsa-sha2-nistp256 -vvv
, "Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer rsa-sha2-512,rsa-sha2-256,ssh-rsa
instalei uma VM Debian 12 simples localmente para comparar o comportamento e, quando executei o mesmo comando, a negociação foi bem-sucedida.
Eu realmente apreciaria sugestões sobre como disponibilizar outros algoritmos de chave de host.