Connectrix серії B: Seccryptocfg може неправильно оновлювати конфігурацію SSHD, якщо одночасно змінюється кілька параметрів SSH

Summary: У цій статті наведено обхідний шлях, коли "Seccryptocfg" не оновлює належним чином конфігурацію SSHD.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Коли користувач запускає seccryptocfg для зміни декількох параметрів SSH (cipher, kex, mac) в одній команді, конфігурація SSHD може бути оновлено некоректно, або процес SSHD може не перезапуститися. Висновок команди seccryptocfg може показати, що SSH налаштовано як потрібно, але відображена конфігурація може бути неефективною.

Після зміни параметрів SSH seccryptocfg може показати SSH, налаштований інакше, ніж запущена конфігурація SSHD.

Зазвичай це спостерігається під час оновлення параметрів SSH для усунення зареєстрованих вразливостей сканування системи безпеки. Після того, як користувач відключає вразливі елементи, і вони більше не відображаються у виводі команди seccryptocfg , сканування безпеки може продовжувати повідомляти про них, оскільки процес SSHD був оновлений неправильно.

Cause

Команда seccryptocfg намагається перезапустити процес SSHD після кожної зміни параметра SSH (cipher, kex, mac), і коли в одній команді налаштовано кілька параметрів, сеанс SSH користувача може бути перерваний до того, як всі параметри SSH будуть оновлені в базових файлах конфігурації, або сеанс SSH може завершитися до перезавантаження SSHD.

Впливає на випуск програмного забезпечення: v8.2.2c і раніші

Resolution

Спосіб вирішення:

Є кілька доступних обхідних шляхів:

  • При використанні seccryptocfg для оновлення параметрів SSH змінюйте лише один параметр за раз.

    Наприклад, наведена нижче команда оновлює параметри 'cipher' і 'kex' в одній команді та може зіткнутися з цією проблемою:

    seccryptocfg --replace -type SSH -cipher aes128-ctr,aes192-ctr  -kex ecdh-sha2-nistp256,ecdh-sha2-nistp384

    Розбиття наведеної вище команди на наступні дві команди дозволяє уникнути цієї проблеми:

    seccryptocfg --replace -type SSH -cipher aes128-ctr,aes192-ctr
    seccryptocfg --replace -type SSH -kex ecdh-sha2-nistp256,ecdh-sha2-nistp384

  • Іншим способом уникнути проблеми є використання команди seccryptocfg у сеансі telnet або з'єднанні з послідовним консольним портом.

Резолюція:

Оновіться до FOS v8.2.2d або FOS v9.0.0 або пізнішої версії, а потім виконайте команду seccryptocfg .

Additional Information

Примітка: Проблему було виявлено під час тестування SQA FOS 9.0.0, а зміни були внесені під час циклу розробки. Номер внутрішнього дефекту не відображається в примітках до випуску FOS версії 8.2.2d або FOS версії 9.0.0.

Affected Products

Connectrix B-Series

Products

Connectrix B-Series Software
Article Properties
Article Number: 000220106
Article Type: Solution
Last Modified: 10 ربيع الأول 1447
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.