SSHサーバー公開鍵が小さすぎます

Debian jessie（現在はoldstableおよびLTSです。LTSを有効にして、今後数か月以内にアップグレードする必要があります）では、ssh RSA鍵は現在2048ビットで生成されています。しかし、システムがjessieにアップグレードされた場合、1024ビットで生成された古いキーがあった可能性があります。

次のようなコマンドを使用して、ホストRSAキーのステータスを確認できます。

error@vmtest-debian8:~$ ssh-keygen -lf /etc/ssh/ssh_Host_rsa_key.pub
2048 1a:bc:78:5e:2f:37:dd:75:c2:70:e8:18:41:35:b9:2e /etc/ssh/ssh_Host_rsa_key.pub (RSA)

キーが2048ビット未満の場合は、新しいSSHホストキーを生成する必要があります。

error@vmtest-debian8:~$ Sudo ssh-keygen -N '' -b 2048 -t rsa -f /etc/ssh/ssh_Host_rsa_key
Generating public/private rsa key pair.
/etc/ssh/ssh_Host_rsa_key already exists.
Overwrite (y/n)? y
Your identification has been saved in /etc/ssh/ssh_Host_rsa_key.
Your public key has been saved in /etc/ssh/ssh_Host_rsa_key.pub.
The key fingerprint is:
47:60:91:14:b1:15:6e:6d:ea:e9:36:37:31:08:d3:69 root@vmtest-debian8
The key's randomart image is:
+---[RSA 2048]----+
|       .B=o.     |
|       ..= .     |
|        ..+.o    |
|        ooEo     |
|        S+o.     |
|         o..o    |
|          o  o   |
|         .o o    |
|         ..o .   |
+-----------------+

そしてもちろんOpenSSHを再起動します。

error@vmtest-debian8:~$ Sudo systemctl restart sshd

次に誰かがサーバーに接続するときに、次のような厄介なメッセージが表示されて接続できなくなる可能性があることに注意してください。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE Host IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a Host key has just been changed.

影響を受けるユーザーは、既知のホストを適切に編集する必要があります。