hostkey-algorithm
Syntaxe (antérieure à Junos OS version 22.3R1)
hostkey-algorithm {
(no-ssh-dss | ssh-dss);
(no-ssh-rsa | ssh-rsa);
(no-ssh-ecdsa | ssh-ecdsa);
(no-ssh-ed25519 | ssh-ed25519);
}
Syntaxe (à partir de Junos OS version 22.3R1)
hostkey-algorithm-list (ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | ecdsa-sha2-nistp521 | ed25519 | rsa)
Niveau hiérarchique
[edit system services ssh]
Description
Autoriser ou interdire à un algorithme de clé d’hôte d’authentifier un autre hôte via le protocole SSH. La clé d’hôte utilise les algorithmes RSA, ECDSA, ED25519 et DSS.
Voici les comportements lorsque l’option est configurée avec le client SSH et le hostkey-algorithm serveur SSH :
Sur le client SSH, les algorithmes de clé d’hôte pris en charge lors de la communication avec un serveur sont les suivants :
RSA : égal ou supérieur à 1024 bits
ECDSA : 256, 384 ou 521 bits
ED25519 : 256 bits
DSS : 1024 bits
Sur le serveur SSH, les algorithmes de clé d’hôte générés et stockés sont les suivants :
RSA : 2048 bits
-
ECDSA : 256 bits (version antérieure à Junos OS version 22.3R1).
ECDSA : 256, 384 ou 521 bits (à partir de Junos OS version 22.3R1).
ED25519 : 256 bits
DSS : 1024 bits
À partir de la version 22.3R1 de Junos OS, nous avons introduit l’instruction hostkey-algorithm-list au niveau de la hiérarchie [edit system services ssh]. Cette amélioration vous permet de configurer uniquement les algorithmes de clé d’hôte SSH spécifiés. Le système désactive automatiquement les algorithmes de clé d’hôte non spécifiés restants. Dans les versions antérieures, vous devez désactiver explicitement les algorithmes de clé hôte. Tous les algorithmes de clé d’hôte de cette hiérarchie sont activés par défaut. L’algorithme DSS n’est plus disponible dans cette nouvelle hiérarchie. De plus, nous avons déprécié l’instruction hostkey-algorithm au niveau de la hiérarchie [edit system services ssh].
Options
| ecdsa-sha2-nistp256 | Permet la génération d’une clé d’hôte ECDSA avec la courbe NIST P-256. | |
| ecdsa-sha2-nistp384 | Permet la génération de clé d’hôte ECDSA avec la courbe NIST P-384. | |
| ecdsa-sha2-nistp521 | Autoriser la génération de clé d’hôte ECDSA avec la courbe NIST P-521 | |
| ed25519 | Permet la génération de la clé d’hôte EdDSA avec curve25519. | |
| rsa | Autoriser la génération d’une clé d’hôte RSA 2048 bits | |
| ssh-ecdsa | Permet la génération d’une clé d’hôte ECDSA. Les paires de clés de 256, 384 ou 521 bits sont compatibles avec ECDSA. | |
| ssh-dss | Permet la génération d’une clé d’hôte DSA 1024 bits. |
Note:
Les clés DSA ne sont pas prises en charge dans FIPS, l’option n’est donc pas disponible sur les systèmes fonctionnant en mode FIPS |
| ssh-rsa | Permet la génération d’une clé d’hôte RSA. Les paires de clés dont la taille est supérieure ou égale à 1024 sont compatibles avec RSA. | |
| no-ssh-dss | N’autorisez pas la génération d’une clé d’hôte DSA (Digital Signature Algorithm) de 1024 bits. | |
| no-ssh-ecdsa | N’autorisez pas la génération d’une clé d’hôte ECDSA (Elliptic Curve Digital Signature Algorithm). | |
| no-ssh-rsa | N’autorisez pas la génération d’une clé d’hôte RSA. |
Niveau de privilège requis
system : permet d’afficher cette instruction dans la configuration.
system-control : permet d’ajouter cette instruction à la configuration.
Informations sur la version
Déclaration introduite dans Junos OS version 11.2.
hostkey-algorithm-list option ajoutée dans Junos OS version 22.3R1.