Connectrix B-Serie: Seccryptocfg aktualisiert die SSHD-Konfiguration möglicherweise nicht ordnungsgemäß, wenn mehrere SSH-Parameter gleichzeitig geändert werden

Summary: Dieser Artikel bietet eine Problemumgehung, wenn "Seccryptocfg" die SSHD-Konfiguration nicht ordnungsgemäß aktualisiert.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Wenn ein Nutzer seccryptocfg ausführt, um mehrere SSH-Parameter (cipher, kex, mac) im selben Befehl zu ändern, wird die SSHD-Konfiguration möglicherweise nicht korrekt aktualisiert oder der SSHD-Prozess wird möglicherweise nicht neu gestartet. Die Ausgabe des Befehls seccryptocfg zeigt möglicherweise, dass SSH wie gewünscht konfiguriert ist, die angezeigte Konfiguration ist jedoch möglicherweise nicht wirksam.

Nach dem Ändern der SSH-Parameter zeigt seccryptocfg möglicherweise an, dass SSH anders konfiguriert ist als die ausgeführte SSHD-Konfiguration.

Dies tritt in der Regel auf, wenn SSH-Parameter aktualisiert werden, um gemeldete Sicherheitslücken bei Sicherheitsüberprüfungen zu beheben. Nachdem ein Nutzer die gefährdeten Elemente deaktiviert hat und sie nicht mehr in der Ausgabe des Befehls seccryptocfg angezeigt werden, melden die Sicherheitsscans sie möglicherweise weiterhin, da der SSHD-Prozess nicht korrekt aktualisiert wurde.

Cause

Der Befehl seccryptocfg versucht, den SSHD-Prozess nach jeder Änderung eines SSH-Parameters (cipher, kex, mac) neu zu starten, und wenn mehrere Parameter im selben Befehl konfiguriert sind, kann die Nutzer-SSH-Sitzung beendet werden, bevor alle SSH-Parameter in den zugrunde liegenden Konfigurationsdateien aktualisiert wurden, oder die SSH-Sitzung kann beendet werden, bevor SSHD neu gestartet wird.

Betroffene Softwareversion: v8.2.2c und früher

Resolution

Behelfslösung:

Es gibt ein paar verfügbare Workarounds:

  • Wenn Sie seccryptocfg zum Aktualisieren von SSH-Parametern verwenden, ändern Sie jeweils nur einen Parameter.

    Mit dem folgenden Befehl werden beispielsweise sowohl die Parameter "cipher" als auch die Parameter "kex" im selben Befehl aktualisiert, und dieses Problem kann auftreten:

    seccryptocfg --replace -type SSH -cipher aes128-ctr,aes192-ctr  -kex ecdh-sha2-nistp256,ecdh-sha2-nistp384

    Durch Aufteilen des obigen Befehls in die folgenden beiden Befehle wird dieses Problem vermieden:

    seccryptocfg --replace -type SSH -cipher aes128-ctr,aes192-ctr
    seccryptocfg --replace -type SSH -kex ecdh-sha2-nistp256,ecdh-sha2-nistp384

  • Eine weitere Möglichkeit, das Problem zu vermeiden, besteht darin, den Befehl seccryptocfg entweder in einer Telnet-Sitzung oder einer seriellen Konsolenportverbindung zu verwenden.

Lösung:

Führen Sie ein Upgrade auf FOS v8.2.2d oder FOS v9.0.0 oder höher durch und führen Sie dann den Befehl seccryptocfg aus.

Additional Information

Hinweis: Das Problem wurde intern während der SAQ-Tests von FOS 9.0.0 erkannt und während des Entwicklungszyklus wurden Änderungen vorgenommen. Die interne Fehlernummer wird nicht in den Versionshinweisen zu FOS v8.2.2d oder FOS v9.0.0 angezeigt.

Affected Products

Connectrix B-Series

Products

Connectrix B-Series Software
Article Properties
Article Number: 000220106
Article Type: Solution
Last Modified: 10 ربيع الأول 1447
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.