Voici une question de M. Ramesh, l'un de nos lecteurs réguliers chez Techglimpse. Il dit que ses messages de journal système sont inondés de "Option obsolète RSAAuthentication ".
J'ai récemment effectué une mise à jour de yum sur mon CentOS VPS et j'ai vu plus tard les messages "sshd[11324]:rexec line 54:Deprecated option RSAAuthentication" dans /var/log/messages. Pourquoi est-ce que j'obtiens cette erreur et cela indique-t-il un problème de sécurité ?
Eh bien, voici la réponse à la question de Ramesh.
Option obsolète RSAAuthentication
Cela ressemble à yum update
a mis à jour le package OpenSSH vers la dernière version. Probablement, un passage de la version inférieure d'OpenSSH à 7.3+ et cette mise à jour pourraient être la raison derrière "l'option obsolète RSAAuthentication". A partir d'OpenSSH version 7.3+, l'option "RSAAuthentication"
a été obsolète, car il n'était pris en charge que pour la version 1 du protocole SSH. Vous devez également être conscient que la version 1 du protocole SSH souffre de défauts de conception et peut rendre les serveurs SSH vulnérables. Par conséquent, le démon SSH doit être configuré pour utiliser uniquement la version 2 du protocole SSH.
Pour ce faire, modifiez le fichier de configuration SSH et définissez le Protocol 2
comme indiqué ci-dessous :
# vim /etc/ssh/sshd_config
Recherchez 'Protocol'
et définissez la valeur 2
.
Et revenant maintenant à la question, RSAAuthentication est pris en charge uniquement pour la version 1 du protocole SSH et ne doit pas être utilisé pour la version 2 du protocole SSH. De plus, le message "Option obsolète RSAAuthentication" indique clairement que vous ne devriez jamais utiliser l'option pour la dernière version d'OpenSSH.
Exécutez la commande ci-dessous pour vérifier la version d'OpenSSH installée sur votre système.
# rpm -qa |grep openssh-server openssh-server-7.4p1-13.el7_4.x86_64
Si la version d'OpenSSH est supérieure à 7.3+, vous pouvez supprimer en toute sécurité l'option "RSAAuthentication"
depuis sshd_config
.
# vim /etc/ssh/sshd_config
Recherchez l'option 'RSAAuthentication'
et commentez-le. De même, vous pouvez désactiver d'autres options obsolètes telles que RhostsRSAAuthentication
.
Redémarrer sshd
Vérifiez s'il y a des erreurs dans sshd_config
avant de redémarrer le service.
# /usr/sbin/sshd -t
# systemctl status sshd
C'est ça! "L'option obsolète RSAAuthentication" devrait disparaître de vos fichiers journaux système.