最近更改したシステムへのSSH接続がうまくいかない事象が発生しているとのことで調査対応しました。
レガシーなシステムからのSSH接続のようです。
調査したところ、更改したシステム側では RSA/SHA1が廃止されており、SSHクライアントは ssh-ed25519/ecdsa-sha2-nistp256/rsa-sha2-256等をサポートする必要があるようです。レガシーなシステムの為、利用できるライブラリ等に制約があったものの、必要とされるSSHクライアントを対応するものに置き換えて利用する形として接続することで、無事接続することができました。
レガシーなシステムを「サブシステム」として含んだ構成にて運用しているケースは「ゼロ」ではなく存在し得ますので、今後もこのような局所的な対応方法により整合を取るシーンはあるかもしれません。しかし、レガシーなシステムは、レガシーなりの脆弱性を包含しているはずです。そのため、(予算や時期の調整は必要となるかもしれませんが) どこかのタイミングにて更改する必要はあるだろうと考えます。
- 動作環境
AWS/Linux
Amazon Linux 2023
CentOS
OpenSSH