我有一个在 AWS 上运行的 Ubuntu 14.04 实例。
我正在浏览身份验证日志(/var/log/auth.log*),并注意到出现了以下行:
Could not load host key: /etc/ssh/ssh_host_ed25519_key
这条线每天会出现 1k-10k 次,大概是由于黑客攻击尝试失败造成的。
在研究这个问题时,我提出了许多问题。
缺少此密钥会有什么影响?我仍然可以使用 AWS 提供的密钥正常登录。这会强制降低我的 SSH 连接的安全性吗?是否出于安全考虑而故意禁用它?
我看到有人建议安装过程中密钥没有正确生成,我需要使用以下命令重新生成密钥dpkg-reconfigure或者ssh-keygen。
另外,我也看到有人建议只注释掉这一行HostKey /etc/ssh/ssh_host_ed25519_key:/etc/ssh/sshd_config
答案1
您可以通过以下方式生成丢失的主机密钥:
ssh-keygen -A
ed25519速度更快,更安全。这不是必需的,而且除了 logspam 之外,这没有太大作用。您确实可以注释掉HostKey /etc/ssh/ssh_host_ed25519_key,而不会产生太大影响。但同时,`ed25519 是一种值得支持的良好主机密钥格式。
答案2
如果您在运行时运行 FIPS 模式,ssh-keygen -A您将看到类似以下错误:
ED25519 keys are not allowed in FIPS mode
因此,FIPS 服务器上的适当操作是在文件中禁用此 HostKey 类型/etc/ssh/sshd_config。
像这样注释掉这一行:
# HostKey /etc/ssh/ssh_host_ed25519_key
然后重新启动 SSHD:service sshd restart
不再有日志垃圾邮件。