IBM Support

【TF】【IBMPower】【Information】OpenSSH v9 に更新時の注意点

News


Abstract

OpenSSH v9 に更新後に、SSH接続ができなくなる、SSHの処理に時間がかかる、といった事象が発生する可能性があります。

Content

AIX7.2TL5SP9, AIX7.3TL3にOpenSSH V9が含まれています。
< SSH接続失敗 >
OpenSSHのバージョン8.8以降、SHA-1を利用するRSA署名がデフォルトで使用不可になったため、SSHクライアントがRSA鍵を利用して、SHA-2を使用できないSSHサーバーに接続を試みる際、SSHの接続ができない場合があります。
Unable to negotiate with XXX.XXX.XXX.XXX port 22: no matching host key type found. Their offer: ssh-rsa
対策:
1.SSHサーバーがSHA-2をサポートしている場合、SSHサーバーにて、SHA-2を使用できるように設定を行う
SSHサーバーがAIXの場合の設定方法
SSHサーバーの/etc/ssh/sshd_configに "HostKeyAlgorithms +rsa-sha2-512,rsa-sha2-256" を追記し、sshdの再起動を行う(既存のセッションへの影響はありません)
# stopsrc -s sshd
# startsrc -s sshd
2.SSHサーバーがSHA-2をサポートしていない場合、SSHクライアントの /etc/ssh/ssh_configもしくは~/.ssh/configに下記を追記し、SHA-1を利用する必要があるホストに対してのみ、SHA-1を利用して接続を行うように設定する
    Host SSHサーバーのホスト名
        HostkeyAlgorithms +ssh-rsa
	PubkeyAcceptedAlgorithms +ssh-rsa
< SSH接続の遅延 >
耐量子アルゴリズム鍵交換方式であるsntrup761x25519-sha512@openssh.comが、OpenSSHのバージョン8.9以降で利用可能になり、9.0以降でデフォルトで使用可能になった影響によりSSHの接続時に時間がかかる事象が確認されています。(繰り返しSSHを行う処理がある場合には遅延の影響が大きくなる可能性があります)
対策:
1.コントロールソケットを用意することで同一接続先への繰り返し発生しうる接続時の遅延を回避する
コントロールソケットの作成・使用例
   a) The first time you log in to the remote host, create and keep a Control Socket
        in /tmp/ContorlSocket with 5 minutes lifetime:
        # ssh -M -S /tmp/ControlSocket -o ControlPersist=5m $RemoteHost exit
 
   b) Try a second connection without using the Control Socket:
       # time ssh $RemoteHost exit
        real     0m0.66s
        user    0m0.07s
        sys      0m0.00s
 
   c) Now try a new connection using the Control Socket you previously created to compare:
       # time ssh -S /tmp/ControlSocket $RemoteHost exit
        real     0m0.12s
        user    0m0.01s
        sys      0m0.01s
2.該当鍵交換方式を利用しない場合には、SSHサーバーの/etc/ssh/sshd_config、SSHクライアントの /etc/ssh/ssh_configもしくは~/.ssh/configのKexAlgorithmsに " -sntrup761x25519-sha512@openssh.com" を追記する
 
以上

[{"Type":"MASTER","Line of Business":{"code":"LOB08","label":"Cognitive Systems"},"Business Unit":{"code":"BU058","label":"IBM Infrastructure w\/TPS"},"Product":{"code":"SWG10","label":"AIX"},"ARM Category":[{"code":"a8m0z000000cvzvAAA","label":"AIX Open Source-\u003EOPENSSH\/OPENSSL"}],"Platform":[{"code":"PF002","label":"AIX"}],"Version":"7.2.0;7.3.0"}]

Document Information

Modified date:
20 April 2025

UID

ibm17185201

Page Feedback