upstream: mention that RevokedKeys is read by the server at each

author djm@openbsd.org <djm@openbsd.org>

Sat, 28 Mar 2026 05:07:12 +0000 (05:07 +0000)

committer Damien Miller <djm@mindrot.org>

Sat, 28 Mar 2026 05:08:34 +0000 (16:08 +1100)
author djm@openbsd.org <djm@openbsd.org>
Sat, 28 Mar 2026 05:07:12 +0000 (05:07 +0000)
committer Damien Miller <djm@mindrot.org>
Sat, 28 Mar 2026 05:08:34 +0000 (16:08 +1100)
diff --git a/sshd_config.5 b/sshd_config.5

index 5bcec932dde23623546bdc486b4921c9efd558d0..3f5e29812d3f33c193e883afc11a808e3704565c 100644 (file)
--- a/sshd_config.5
+++ b/sshd_config.5
@@ -33,8 +33,8 @@
  .\" (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
  .\" THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
  .\"
-.\" $OpenBSD: sshd_config.5,v 1.396 2026/03/23 01:33:46 djm Exp $
-.Dd $Mdocdate: March 23 2026 $
+.\" $OpenBSD: sshd_config.5,v 1.397 2026/03/28 05:07:12 djm Exp $
+.Dd $Mdocdate: March 28 2026 $
  .Dt SSHD_CONFIG 5
  .Os
  .Sh NAME
@@ -1855,6 +1855,11 @@ be refused for all users.
  Keys may be specified as a text file, listing one public key per line, or as
  an OpenSSH Key Revocation List (KRL) as generated by
  .Xr ssh-keygen 1 .
+This file may be consulted for each public key authentication attempt
+received by
+.Xr sshd 8
+and its contents must be consistent at all times, therefore it should only
+be atomically replaced and never modified in place while the server is running.
  For more information on KRLs, see the KEY REVOCATION LISTS section in
  .Xr ssh-keygen 1 .
  .It Cm RDomain
author	djm@openbsd.org <djm@openbsd.org>
	Sat, 28 Mar 2026 05:07:12 +0000 (05:07 +0000)
committer	Damien Miller <djm@mindrot.org>
	Sat, 28 Mar 2026 05:08:34 +0000 (16:08 +1100)