本篇介绍如何在 macOS Tahoe(M芯片) 终端利用 ssh 继续通过 DSA 算法连接远程服务器,解决因 OpenSSH 升级带来的异常
Bad key types '+ssh-dss'。
概述
macOS 近期推送了新的提供 Tahoe,系统升级的同时也升级了内部的 OpenSSH 组件到OpenSSH_10.0p2版本。根据 openssh 的计划 10.0 版本全面停止了对DSA算法的支持。
因此,在终端尝试使用DSA算法进行远程登录将报错:
-> ssh -oHostKeyAlgorithms=+ssh-dss username@hostBad key types '+ssh-dss'
OpenSSH 从 7.0 版本(2015 年发布)开始默认禁用 DSA(ssh-dss)密钥,并在 10.0 版本(macOS Tahoe正在使用的版本)中完全移除支持。主要原因在于 DSA(ssh-dss)算法的固定密钥只有 1024 位,现有的算力下已不再安全。
下面将介绍如何借助 brew 安装 OpenSSH_8.9p1 来解决该问题。
快速解决
提醒:
- 下面流程默认系统中已安装 Homebrew,如果没有参考 Homebrew 官网安装方式
- 下面命令执行流程必须顺序执行
- OpenSSH_9.x 版本仍然无法使用 DSA 算法,不要尝试使用该版本解决此问题
Homebrew Tap
原意是水龙头(Tap),可以简单理解成 Homebrew 的软件仓库,Homebrew 允许从第三方的软件仓库下载并安装。
- 创建第三方 Homebrew Tap
brew tap $USER/my-tap https://gitee.com/TonyaBaSy/homebrew-tap.git
- 安装 OpenSSL 1.1(OpenSSH 8.9p1 依赖该版本的 OpenSSL)
brew install $USER/my-tap/openssl@1.1
- 安装 OpenSSL 8.9p1
brew install $USER/my-tap/openssh
相关说明
由于 Homebrew 已经不再提供 OpenSSL@1.1 版本,因此需要通过第三方仓库下载,本文中使用的 OpenSSL@1.1 Formula 是笔者自己构建。
OpenSSL 安装过程中需要基于 OpenSSL 官网下载源码并进行编译,编译需要一定时间(取决于机器性能)。这里将来自 OpenSSL 官网的源码放在了 Git 仓库中可以大大加快国内用户的下载。
OpenSSH-8.9p1 的 Tap Formula 来自 Homebrew Github 仓库。
关于本篇文档有任何疑问或者问题欢迎评论区交流或发邮件给我。