在 Stretch 中重新启动 openssh 时不推荐使用的选项

Question

今天，在 Debian Stretch 中进行更新后，在ssh使用我当前的配置重新启动服务时，它开始显示这些警告：

/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication
[....] Restarting OpenBSD Secure Shell server: sshd
/etc/ssh/sshd_config line 17: Deprecated option KeyRegenerationInterval
/etc/ssh/sshd_config line 18: Deprecated option ServerKeyBits
/etc/ssh/sshd_config line 29: Deprecated option RSAAuthentication
/etc/ssh/sshd_config line 36: Deprecated option RhostsRSAAuthentication

这里发生了什么？

在 OpenSSH 7.4 中使用 Debian 9

Answer 1

在当前的 Stretch 更新中，openssh版本从 7.3 更改为 7.4，于 2016 年 12 月 19 日发布。

可以从发行说明和@Jakuje 评论中推断出，OpenSSH 维护者已经永久删除了相应的配置选项，因为它们已经过时了。

因此，可以安全地移除线条。

另外，请负责：

未来弃用通知

我们计划在未来的版本中淘汰更多的传统密码学，特别是：

• 大约在 2017 年 8 月，移除了对
  SSH v.1 协议的剩余支持（仅限客户端且当前编译时禁用）。

• 在同一版本中，删除了对 Blowfish 和 RC4 密码以及 RIPE-MD160 HMAC 的支持。（这些当前在运行时被禁用）。

• 拒绝所有小于 1024 位的 RSA 密钥（当前最小值
  为 768 位）

• 下一版本的 OpenSSH 将取消对禁用特权分离的 sshd(8) 运行的支持。

• 下一版本的可移植 OpenSSH 将取消
  对 1.0.1 之前的 OpenSSL 版本的支持。

Answer 2

您可以使用以下命令删除已弃用的配置行：

sed -i '/KeyRegenerationInterval/d' /etc/ssh/sshd_config
sed -i '/ServerKeyBits/d' /etc/ssh/sshd_config
sed -i '/RSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/RhostsRSAAuthentication/d' /etc/ssh/sshd_config
sed -i '/UsePrivilegeSeparation/d' /etc/ssh/sshd_config

并重启 SSH 守护进程： systemctl restart sshd