Amazon Linux 2023のsshまわりでいろいろ調べる羽目になったので、簡単にまとめ。
設定は/etc/ssh/sshd_config.d/に置く
crypto-policiesが…とかあったりしますが、/etc/ssh/sshd_config.d/ 以下に設定ファイルを置いておけば、反映されます。最初に現れた設定内容が使用されるので、ファイル名に注意しましょう。50-redhat.confのコメントに書いてあります。
設定ファイルの確認はsshd -t
設定ファイルを変更したら、忘れずにsshd -tを実行して、文法的にエラーがないことを確認しておきましょう。
「今」の設定状況の確認はsshd -T
設定ファイルが分割されているので、最終的にどのような設定になったかが分かりにくいです。設定反映のためにsshdを再起動したのち、sshd -Tで設定されている内容を確認しましょう。
crypto-policiesとの関係
/etc/ssh/sshd_config にInclude /etc/ssh/sshd_config.d/*.confとあり、さらに
/etc/ssh/sshd_config.d/50-redhat.conf にInclude /etc/crypto-policies/back-ends/opensshserver.configと書かれており、これが、update-crypto-policiesで生成された設定の読み込みを行なっているようです。
sshdの暗号関係の設定を変更する場合、公式サイトにはupdate-crypto-policiesで設定するとあります。
Default SSH server configuration
If you have SSH clients from several years ago, you might see an error when you connect to an instance. If the error tells you there's no matching host key type found, update your SSH host key to troubleshoot this issue.
docs.aws.amazon.comただ、それだとシステム全体の暗号化ポリシーを変えることになるからよろしくないという指摘があります。
Amazon Linux 2023を触ってみて質問がありそうなことをまとめてみました。 | ソフトウェア開発のギークフィード こんにちは、意識高い...
確かに、変更したいのはsshdだけなので、それ以外の部分にも影響が出るようなやり方は好ましくありません。
ですが、この方法だと、crypto-policiesの記述がどのようにsshd_configに反映されるのか、理解しておく必要があります。
「いや、そこまでは…」という意見にも同意できます。sshdだけ変更したいのであれば、/etc/ssh/sshd_config.d/に設定ファイルを用意するのが、素直なやり方ではないでしょうか。
