らくがきちょう

なんとなく ~所属組織/団体とは無関係であり、個人の見解です~

vSphere 6.7 Update1 で ESXi への SSH アクセス時に ED25519 が使えるようにする

vSphere 6.7 Update1 のデフォルト状態では SSH を有効化しても ED25519 が利用出来ませんでした。 vSphere 6.7 Update1 でも ED25519 を有効化する手順をメモしておきます。

テスト環境

esxcli system version get で確認した ESXi のバージョンは以下の通りです。

$ esxcli system version get
   Product: VMware ESXi
   Version: 6.7.0
   Build: Releasebuild-10302608
   Update: 1
   Patch: 28

実行するコマンド

/etc/ssh/sshd_config へ公開鍵として ED25519 を許可する設定を追記し、SSH サービスを再起動します。 これで ED25519 が使えるようになりました。

echo "PubkeyAcceptedKeyTypes=+ssh-ed25519" >> /etc/ssh/sshd_config
/etc/init.d/SSH restart

公開鍵の配置場所

公開鍵は以前から変わらず、/etc/ssh/keys-root/authorized_keys に配置します。 ED25519 形式で生成した鍵はこのファイルに追記しておきます。

参考

デフォルトの /etc/ssh/sshd_config

# Version 6.6.0.0

# running from inetd
# Port 2200
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key

# Fips mode restricts ciphers to only FIPS-permitted ciphers
FipsMode yes

SyslogFacility auth
LogLevel info

PermitRootLogin yes

PrintMotd yes
PrintLastLog no

TCPKeepAlive yes

X11Forwarding no

Ciphers aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr

MACs hmac-sha2-256,hmac-sha2-512,hmac-sha1

UsePAM yes
# only use PAM challenge-response (keyboard-interactive)
PasswordAuthentication no

Banner /etc/issue

Subsystem sftp /usr/lib/vmware/openssh/bin/sftp-server -f LOCAL5 -l INFO

AuthorizedKeysFile /etc/ssh/keys-%u/authorized_keys

# Timeout value of 10 mins. The default value of ClientAliveCountMax is 3.
# Hence, we get a  3 * 200 = 600 seconds timeout if the client has been
# unresponsive.
ClientAliveInterval 200

# sshd(8) will refuse connection attempts with a probability of “rate/100”
# (30%) if there are currently “start” (10) unauthenticated connections.  The
# probability increases linearly and all connection attempts are refused if the
# number of unauthenticated connections reaches “full” (100)
MaxStartups 10:30:100