vSphere 6.7 Update1 で ESXi への SSH アクセス時に ED25519 が使えるようにする
vSphere 6.7 Update1 のデフォルト状態では SSH を有効化しても ED25519 が利用出来ませんでした。 vSphere 6.7 Update1 でも ED25519 を有効化する手順をメモしておきます。
テスト環境
esxcli system version get で確認した ESXi のバージョンは以下の通りです。
| $ esxcli system version get
Product: VMware ESXi
Version: 6.7.0
Build: Releasebuild-10302608
Update: 1
Patch: 28
|
実行するコマンド
/etc/ssh/sshd_config へ公開鍵として ED25519 を許可する設定を追記し、SSH サービスを再起動します。 これで ED25519 が使えるようになりました。
| echo "PubkeyAcceptedKeyTypes=+ssh-ed25519" >> /etc/ssh/sshd_config
/etc/init.d/SSH restart
|
公開鍵の配置場所
公開鍵は以前から変わらず、/etc/ssh/keys-root/authorized_keys に配置します。 ED25519 形式で生成した鍵はこのファイルに追記しておきます。
参考
デフォルトの /etc/ssh/sshd_config
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47 | # Version 6.6.0.0
# running from inetd
# Port 2200
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
# Fips mode restricts ciphers to only FIPS-permitted ciphers
FipsMode yes
SyslogFacility auth
LogLevel info
PermitRootLogin yes
PrintMotd yes
PrintLastLog no
TCPKeepAlive yes
X11Forwarding no
Ciphers aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-256,hmac-sha2-512,hmac-sha1
UsePAM yes
# only use PAM challenge-response (keyboard-interactive)
PasswordAuthentication no
Banner /etc/issue
Subsystem sftp /usr/lib/vmware/openssh/bin/sftp-server -f LOCAL5 -l INFO
AuthorizedKeysFile /etc/ssh/keys-%u/authorized_keys
# Timeout value of 10 mins. The default value of ClientAliveCountMax is 3.
# Hence, we get a 3 * 200 = 600 seconds timeout if the client has been
# unresponsive.
ClientAliveInterval 200
# sshd(8) will refuse connection attempts with a probability of “rate/100”
# (30%) if there are currently “start” (10) unauthenticated connections. The
# probability increases linearly and all connection attempts are refused if the
# number of unauthenticated connections reaches “full” (100)
MaxStartups 10:30:100
|