@kuketzblog Bitte nicht wundern, wenn anschließend SSH beim Verbindungsaufbau meint, der Host-Key hätte sich geändert. Das ist so nicht ganz korrekt: Ihr bekommt nur ggf. einen anderen Key geliefert als zuvor. Nämlich "ssh-host-ed25519" (der einzige noch aktive), statt z.B. "ssh-host-rsa" (Debian/Ubuntu-Default). Einfach mal in "/etc/ssh" nachschauen, da liegen mehrere Keys rum :wink:

Mike: Ist rsa-sha2-512 zu schwach, dass Du ihn rausgeworfen hast? Oder ist das echt Sha-2? Dann autsch, ja.

@kuketzblog In der Tat. Seltsam. nmap zeigt es aber nicht mehr an:

| server_host_key_algorithms: (1)
| ssh-ed25519

@IzzyOnDroid Jetzt wo du es sagst. Auch ssh-audit zeigt es nicht mehr an. Selstsam.

@kuketzblog Des Rätsels Lösung: Alle anderen Parameter waren falsch, die gibt es so nicht. Schau mal mit "ssh -Q key" nach, was unterstützt wird. Dann setze

HostKeyAlgorithms ssh-ed25519,ssh-rsa,ssh-rsa-cert-v01@openssh.com

et voila:

| server_host_key_algorithms: (4)
| ssh-rsa
| rsa-sha2-512
| rsa-sha2-256
| ssh-ed25519

Wobei, warum auch immer, das (nicht) Vorhandensein von "ssh-rsa-cert-v01@openssh.com" keinerlei Unterschied zu machen scheint.

Was meinst Du?

@IzzyOnDroid Waren wohl Irrläufer einer alten Config. Danke für den Hinweis, werde ich korrigieren!

@kuketzblog gern – und supi! Kurze Ja/Nein Frage: passt der Parameter so, wie ich ihn jetzt genannt habe? ("Nein" hieße dann, ich muss heute Abend nochmal nachschauen, wie Du ihn angepasst hast).

Interessieren würde mich auch, falls Du es herausfindest, warum "ssh-rsa-cert-v01@openssh.com" scheinbar "ignoriert" wird: "ssh -Q key" nennt ihn – aber ob man ihn setzt, oder in China ein Sack Reis umfällt, scheint auf's gleiche hinaus zu laufen.

@kuketzblog Danke! Also den "Sack Reis" einfach weg gelassen 🤣 Ja, schaut gut aus jetzt.

Danke für das Heads-Up! Man vergisst so leicht, wo man noch überall schauen müsste. Als nächstes wäre da bei mir noch Dovecot, da gilt es nach 4 Jahren sicher auch wieder, die Cipher-Suiten anzupassen…

@kuketzblog Danke für den Beitrag! Da er mir etwas Arbeit gespart hat, habe Ihren Blog mit 5€ unterstützt.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!