Connectrix B-Series: seccryptocfg potrebbe non aggiornare correttamente la configurazione SSHD se più parametri SSH vengono modificati contemporaneamente

Summary: Questo articolo fornisce una soluzione alternativa quando "Seccryptocfg" non aggiorna correttamente la configurazione SSHD.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Quando un utente esegue seccryptocfg per modificare più parametri SSH (cipher, kex, mac) nello stesso comando, la configurazione SSHD potrebbe non essere aggiornata correttamente o il processo SSHD potrebbe non riavviarsi. L'output del comando seccryptocfg potrebbe indicare che SSH è configurato come desiderato, ma la configurazione visualizzata potrebbe non essere efficace.

Dopo aver modificato i parametri SSH, seccryptocfg potrebbe mostrare SSH configurato in modo diverso rispetto alla configurazione SSHD in esecuzione.

Ciò si verifica in genere quando si aggiornano i parametri SSH per risolvere le vulnerabilità segnalate della scansione della sicurezza. Dopo che un utente disabilita gli elementi vulnerabili e questi non vengono più visualizzati nell'output del comando seccryptocfg , le scansioni di sicurezza potrebbero continuare a segnalarli poiché il processo SSHD non è stato aggiornato correttamente.

Cause

Il comando seccryptocfg tenta di riavviare il processo SSHD dopo ogni modifica di un parametro SSH (cipher, kex, mac) e, quando più parametri sono configurati nello stesso comando, la sessione SSH dell'utente potrebbe essere terminata prima che tutti i parametri SSH siano stati aggiornati nei file di configurazione sottostanti oppure la sessione SSH potrebbe terminare prima del riavvio di SSHD.

Versione software interessata: v8.2.2c e precedenti

Resolution

Soluzione alternativa:

Sono disponibili un paio di soluzioni alternative:

  • Quando si utilizza seccryptocfg per aggiornare i parametri SSH, modificare solo un parametro alla volta.

    Ad esempio, il comando seguente aggiorna entrambi i parametri 'cipher' e 'kex' nello stesso comando e potrebbe riscontrare questo problema:

    seccryptocfg --replace -type SSH -cipher aes128-ctr,aes192-ctr  -kex ecdh-sha2-nistp256,ecdh-sha2-nistp384

    Suddividendo il comando precedente nei due comandi seguenti, si evita questo problema:

    seccryptocfg --replace -type SSH -cipher aes128-ctr,aes192-ctr
    seccryptocfg --replace -type SSH -kex ecdh-sha2-nistp256,ecdh-sha2-nistp384

  • Un altro modo per evitare il problema consiste nell'usare il comando seccryptocfg in una sessione telnet o in una connessione alla porta della console seriale.

Risoluzione:

Eseguire l'aggiornamento a FOS v8.2.2d o FOS v9.0.0 o versione successiva, quindi eseguire il comando seccryptocfg .

Additional Information

Nota: Il problema è stato rilevato internamente durante il test SQA di FOS 9.0.0 e sono state apportate modifiche durante il ciclo di sviluppo. Il numero di difetto interno non viene visualizzato nelle note di rilascio di FOS v8.2.2d o FOS v9.0.0.

Affected Products

Connectrix B-Series

Products

Connectrix B-Series Software
Article Properties
Article Number: 000220106
Article Type: Solution
Last Modified: 10 ربيع الأول 1447
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.