无法加载主机密钥:/etc/ssh/ssh_host_ed25519_key 在 /var/log/auth.log 中

无法加载主机密钥:/etc/ssh/ssh_host_ed25519_key 在 /var/log/auth.log 中

我有一个在 AWS 上运行的 Ubuntu 14.04 实例。

我正在浏览身份验证日志(/var/log/auth.log*),并注意到出现了以下行:

Could not load host key: /etc/ssh/ssh_host_ed25519_key

这条线每天会出现 1k-10k 次,大概是由于黑客攻击尝试失败造成的。

在研究这个问题时,我提出了许多问题。

缺少此密钥会有什么影响?我仍然可以使用 AWS 提供的密钥正常登录。这会强制降低我的 SSH 连接的安全性吗?是否出于安全考虑而故意禁用它?

我看到有人建议安装过程中密钥没有正确生成,我需要使用以下命令重新生成密钥dpkg-reconfigure或者ssh-keygen

另外,我也看到有人建议只注释掉这一行HostKey /etc/ssh/ssh_host_ed25519_key/etc/ssh/sshd_config

答案1

您可以通过以下方式生成丢失的主机密钥:

ssh-keygen -A

ed25519速度更快,更安全。这不是必需的,而且除了 logspam 之外,这没有太大作用。您确实可以注释掉HostKey /etc/ssh/ssh_host_ed25519_key,而不会产生太大影响。但同时,`ed25519 是一种值得支持的良好主机密钥格式​​。

答案2

如果您在运行时运行 FIPS 模式,ssh-keygen -A您将看到类似以下错误:

ED25519 keys are not allowed in FIPS mode

因此,FIPS 服务器上的适当操作是在文件中禁用此 HostKey 类型/etc/ssh/sshd_config

像这样注释掉这一行: # HostKey /etc/ssh/ssh_host_ed25519_key

然后重新启动 SSHD:service sshd restart

不再有日志垃圾邮件。

相关内容