ACI からの SCP アクセスを許可する為、sshd の HostKeyAlgorithms に ssh-rsa を追加する

以下の環境で APIC から外部サーバへ SCP でのファイルバックアップを試したところ、F0053 - fltConfigJobConfigBackupFailed のエラーになってしまいました。

  • クライアント側
    • ACI 6.0(2h)
  • サーバ側
    • Ubuntu 22.04.1LTS
    • Ubuntu OpenSSH_8.9p1 Ubuntu-3ubuntu0.1, OpenSSL 3.0.2 15 Mar 2022

Ubuntu 側の /var/log/auth.log を確認したところ、下記が記録されていました。

Mar 15 11:57:00 localhost sshd[97087]: Unable to negotiate with port 58692: no matching host key type found. Their offer: ssh-rsa,ssh-dss [preauth]

APIC 側のクライアントとしての HostKeyAlgorithms 設定変更が不明だった為、セキュリティレベルを下げることになってしまいますが、サーバ側の /etc/ssh/sshd_config に以下を追記しました。

HostKeyAlgorithms +ssh-rsa

追加した設定を反映する為、サーバ側で sshd を再起動します。

systemctl restart sshd.service

これで APIC からサーバへ SCP でアクセス出来るようになりました。


以下は OpenSSH 8.7 リリースノート からの抜粋です。

OpenSSH will disable the ssh-rsa signature scheme by default in the next release.

In the SSH protocol, the "ssh-rsa" signature scheme uses the SHA-1 hash algorithm in conjunction with the RSA public key algorithm. It is now possible[1] to perform chosen-prefix attacks against the SHA-1 algorithm for less than USD$50K.

Note that the deactivation of "ssh-rsa" signatures does not necessarily require cessation of use for RSA keys. In the SSH protocol, keys may be capable of signing using multiple algorithms. In particular, "ssh-rsa" keys are capable of signing using "rsa-sha2-256" (RSA/SHA256), "rsa-sha2-512" (RSA/SHA512) and "ssh-rsa" (RSA/SHA1). Only the last of these is being turned off by default.

This algorithm is unfortunately still used widely despite the existence of better alternatives, being the only remaining public key signature algorithm specified by the original SSH RFCs that is still enabled by default.