hostkey-algorithm
Sintaxis (antes de Junos OS versión 22.3R1)
hostkey-algorithm {
(no-ssh-dss | ssh-dss);
(no-ssh-rsa | ssh-rsa);
(no-ssh-ecdsa | ssh-ecdsa);
(no-ssh-ed25519 | ssh-ed25519);
}
Sintaxis (a partir de Junos OS versión 22.3R1)
hostkey-algorithm-list (ecdsa-sha2-nistp256 | ecdsa-sha2-nistp384 | ecdsa-sha2-nistp521 | ed25519 | rsa)
Nivel de jerarquía
[edit system services ssh]
Descripción
Permitir o no permitir un algoritmo de clave de host para autenticar otro host mediante el protocolo SSH. La clave de host usa algoritmos RSA, ECDSA, ED25519 y DSS.
Los siguientes son los comportamientos cuando la hostkey-algorithm opción está configurada con el cliente SSH y el servidor SSH:
En el cliente SSH, los algoritmos de clave de host que se admiten cuando se habla con un servidor son:
RSA: Igual o mayor que 1024 bits
ECDSA: 256, 384 o 521 bits
25519: 256 bits
DSS: 1024 bits
En el servidor SSH, los algoritmos de clave de host que se generan y almacenan son:
RSA: 2048 bits
-
ECDSA: 256 bits (antes de Junos OS versión 22.3R1).
ECDSA: 256, 384 o 521 bits (a partir de Junos OS versión 22.3R1).
25519: 256 bits
DSS: 1024 bits
A partir de Junos OS versión 22.3R1, presentamos la hostkey-algorithm-list instrucción en el nivel de jerarquía [edit system services ssh]. Esta mejora le permite configurar solo los algoritmos de clave de host SSH especificados. El sistema deshabilita automáticamente el resto de algoritmos de clave de host no especificados. En versiones anteriores, debe deshabilitar los algoritmos de hostkey explícitamente. Todos los algoritmos de clave de host en esta jerarquía habilitados de forma predeterminada. El algoritmo DSS ya no está disponible en esta nueva jerarquía. Además, hemos desusado la hostkey-algorithm instrucción en el nivel jerárquico [edit system services ssh].
Opciones
| ecdsa-sha2-nistp256 | Permita la generación de clave de host ECDSA con curva NIST P-256. | |
| ecdsa-sha2-nistp384 | Permita la generación de clave de host ECDSA con curva NIST P-384. | |
| ecdsa-sha2-nistp521 | Permitir la generación de clave de host ECDSA con curva NIST P-521 | |
| ed25519 | Permita la generación de clave de host EdDSA con curva25519. | |
| rsa | Permitir la generación de clave de host RSA de 2048 bits | |
| ssh-ecdsa | Permitir la generación de una clave de host ECDSA. Los tamaños de pares de claves de 256, 384 o 521 bits son compatibles con ECDSA. | |
| ssh-dss | Permitir la generación de una clave de host DSA de 1024 bits. |
Nota:
Las claves DSA no se admiten en FIPS, por lo que la |
| ssh-rsa | Permitir la generación de clave de host RSA. Los tamaños de pares de claves mayores o iguales que 1024 son compatibles con RSA. | |
| no-ssh-dss | No permita la generación de una clave de host del algoritmo de firma digital (DSA) de 1024 bits. | |
| no-ssh-ecdsa | No permita la generación de una clave de host del algoritmo de firma digital de curva elíptica (ECDSA). | |
| no-ssh-rsa | No permita la generación de una clave de host RSA. |
Nivel de privilegio requerido
system— Para ver esta instrucción en la configuración.
system-control: para agregar esta instrucción a la configuración.
Información de versión
Declaración introducida en la versión 11.2 de Junos OS.
hostkey-algorithm-list opción agregada en Junos OS versión 22.3R1.