hostkey-algorithm
语法(Junos OS 22.3R1 版之前)
hostkey-algorithm {
(no-ssh-dss | ssh-dss);
(no-ssh-rsa | ssh-rsa);
(no-ssh-ecdsa | ssh-ecdsa);
(no-ssh-ed25519 | ssh-ed25519);
}
语法(从 Junos OS 22.3R1 版开始)
hostkey-algorithm-list (ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | ecdsa-sha2-nistp521 | ed25519 | rsa)
层次结构级别
[edit system services ssh]
描述
允许或禁止主机密钥算法通过 SSH 协议对另一台主机进行身份验证。主机密钥使用 RSA、ECDSA、ED25519 和 DSS 算法。
以下是使用 SSH 客户端和 SSH 服务器配置选项 hostkey-algorithm 时的行为:
在 SSH 客户端上,与服务器通信时支持的主机密钥算法包括:
RSA:等于或大于 1024 位
ECDSA:256、384 或 521 位
ED25519:256 位
DSS:1024 位
在 SSH 服务器上,生成和存储的主机密钥算法包括:
RSA:2048 位
-
ECDSA:256 位(Junos OS 22.3R1 版之前)。
ECDSA:256、384 或 521 位(从 Junos OS 22.3R1 版开始)。
ED25519:256 位
DSS:1024 位
从 Junos OS 22.3R1 版开始,我们在 [edit system services ssh] 层次结构级别引入了hostkey-algorithm-list该语句。此增强功能使您能够仅配置指定的 SSH 主机密钥算法。系统会自动禁用剩余未指定的主机密钥算法。在早期版本中,您需要显式禁用主机密钥算法。默认情况下,此层次结构中的所有主机密钥算法都处于启用状态。DSS 算法在此新层次结构中不再可用。此外,我们还在 [edit system services ssh] 层次结构级别弃用了该hostkey-algorithm语句。
选项
| ecdsa-sha2-nistp256 | 允许使用 NIST P-256 曲线生成 ECDSA 主机密钥。 | |
| ecdsa-sha2-nistp384 | 允许使用 NIST P-384 曲线生成 ECDSA 主机密钥。 | |
| ecdsa-sha2-nistp521 | 允许使用 NIST P-521 曲线生成 ECDSA 主机密钥 | |
| ed25519 | 允许使用 curve25519 生成 EdDSA 主机密钥。 | |
| rsa | 允许生成 2048 位 RSA 主机密钥 | |
| ssh-ecdsa | 允许生成 ECDSA 主机密钥。256、384 或 521 位的密钥对大小与 ECDSA 兼容。 | |
| ssh-dss | 允许生成 1024 位 DSA 主机密钥。 |
注意:
FIPS 不支持 DSA 密钥,因此该 |
| ssh-rsa | 允许生成 RSA 主机密钥。大于或等于 1024 的密钥对大小与 RSA 兼容。 | |
| no-ssh-dss | 不允许生成 1024 位数字签名算法 (DSA) 主机密钥。 | |
| no-ssh-ecdsa | 不允许生成椭圆曲线数字签名算法 (ECDSA) 主机密钥。 | |
| no-ssh-rsa | 不允许生成 RSA 主机密钥。 |
所需权限级别
system - 在配置中查看此语句。
系统控制 - 将此语句添加到配置中。
发布信息
Junos OS 11.2 版中引入的语句。
hostkey-algorithm-list 在 Junos OS 22.3R1 版中添加了选项。