Connectrix B-Series: Seccryptocfg może nie aktualizować poprawnie konfiguracji SSHD, jeśli wiele parametrów SSH zostanie zmienionych jednocześnie.

Summary: Ten artykuł zawiera obejście problemu, w którym polecenie "Seccryptocfg" nie aktualizuje prawidłowo konfiguracji dysku SSHD.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Gdy użytkownik uruchamia seccryptocfg w celu zmiany wielu parametrów SSH (cipher, kex, mac) w tym samym poleceniu, konfiguracja SSHD może nie zostać poprawnie zaktualizowana lub proces SSHD może nie zostać ponownie uruchomiony. Dane wyjściowe polecenia seccryptocfg mogą wskazywać, że SSH jest skonfigurowany zgodnie z oczekiwaniami, ale wyświetlana konfiguracja może nie być skuteczna.

Po zmianie parametrów SSH seccryptocfg może pokazywać SSH skonfigurowany inaczej niż uruchomiona konfiguracja SSHD.

Jest to zwykle widoczne podczas aktualizowania parametrów SSH w celu usunięcia zgłoszonych luk w zabezpieczeniach skanowania bezpieczeństwa. Gdy użytkownik wyłączy elementy narażone na ataki, gdy nie będą one już wyświetlane w danych wyjściowych polecenia seccryptocfg , skanowania zabezpieczeń mogą nadal je zgłaszać, ponieważ proces SSHD nie został poprawnie zaktualizowany.

Cause

Polecenie seccryptocfg próbuje ponownie uruchomić proces SSHD po każdej zmianie parametru SSH (cipher, kex, mac), a jeśli w tym samym poleceniu skonfigurowano wiele parametrów, sesja SSH użytkownika może zostać zakończona przed zaktualizowaniem wszystkich parametrów SSH w podstawowych plikach konfiguracyjnych lub sesja SSH może zostać zakończona przed ponownym uruchomieniem SSHD.

Wersja oprogramowania, której dotyczy problem: v8.2.2c i starsze

Resolution

Obejście problemu:

Dostępnych jest kilka obejść problemu:

  • W przypadku używania seccryptocfg do aktualizowania parametrów SSH zmieniaj tylko jeden parametr na raz.

    Na przykład następujące polecenie aktualizuje parametry "cipher" i "kex" w tym samym poleceniu i może wystąpić ten problem:

    seccryptocfg --replace -type SSH -cipher aes128-ctr,aes192-ctr  -kex ecdh-sha2-nistp256,ecdh-sha2-nistp384

    Podział powyższego polecenia na następujące dwa polecenia pozwala uniknąć tego problemu:

    seccryptocfg --replace -type SSH -cipher aes128-ctr,aes192-ctr
    seccryptocfg --replace -type SSH -kex ecdh-sha2-nistp256,ecdh-sha2-nistp384

  • Innym sposobem uniknięcia tego problemu jest użycie polecenia seccryptocfg w sesji telnet lub w połączeniu szeregowym przez port konsoli.

Rozwiązanie:

Uaktualnij FOS do wersji 8.2.2d, 9.0.0 lub nowszej, a następnie uruchom polecenie seccryptocfg .

Additional Information

Uwaga: Problem został wykryty wewnętrznie podczas testów SQA FOS 9.0.0 i wprowadzono zmiany w trakcie cyklu projektowania. Numer usterki wewnętrznej nie pojawia się w informacjach o wydaniu FOS 8.2.2d lub FOS 9.0.0.

Affected Products

Connectrix B-Series

Products

Connectrix B-Series Software
Article Properties
Article Number: 000220106
Article Type: Solution
Last Modified: 10 ربيع الأول 1447
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.