Connectrix řady B: Seccryptocfg nemusí správně aktualizovat konfiguraci SSHD, pokud se současně změní více parametrů SSH

Shrnutí: Tento článek obsahuje zástupné řešení pro případy, kdy "Seccryptocfg" neaktualizuje správně konfiguraci SSHD.

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.
Podívejte se na další zdroje

Příznaky

Když uživatel spustí seccryptocfg a změní více parametrů SSH (šifra, kex, mac) jedním příkazem, konfigurace SSHD nemusí být správně aktualizována nebo se proces SSHD nemusí restartovat. Výstup příkazu seccryptocfg může ukázat, že protokol SSH je nakonfigurován požadovaným způsobem, ale zobrazená konfigurace nemusí být účinná.

Po změně parametrů SSH může seccryptocfg zobrazit SSH nakonfigurovaný jinak, než jaká je spuštěná konfigurace SSHD.

K tomu obvykle dochází při aktualizaci parametrů SSH za účelem vyřešení nahlášených chyb zabezpečení při kontrole. Poté, co uživatel zakáže ohrožené položky a tyto položky se již nezobrazují ve výstupu příkazu seccryptocfg , mohou je bezpečnostní kontroly nadále hlásit, protože proces SSHD nebyl správně aktualizován.

Příčina

Příkaz seccryptocfg se pokusí restartovat proces SSHD po každé změně parametru SSH (šifra, kex, mac), a pokud je ve stejném příkazu nakonfigurováno více parametrů, může být relace SSH uživatele ukončena před aktualizací všech parametrů SSH v základních konfiguračních souborech nebo může být relace SSH ukončena před restartováním SSHD.

Dotčená verze softwaru: v8.2.2c a starší

Řešení

Náhradní řešení:

Existuje několik dostupných alternativních řešení:

  • Používáte-li k aktualizaci parametrů SSH seccryptocfg , měňte vždy pouze jeden parametr.

    Například následující příkaz aktualizuje parametry "cipher" i "kex" ve stejném příkazu a může dojít k tomuto problému:

    seccryptocfg --replace -type SSH -cipher aes128-ctr,aes192-ctr  -kex ecdh-sha2-nistp256,ecdh-sha2-nistp384

    Rozdělení výše uvedeného příkazu na následující dva příkazy tomuto problému předejde:

    seccryptocfg --replace -type SSH -cipher aes128-ctr,aes192-ctr
    seccryptocfg --replace -type SSH -kex ecdh-sha2-nistp256,ecdh-sha2-nistp384

  • Dalším způsobem, jak se tomuto problému vyhnout, je použít příkaz seccryptocfg v relaci telnet nebo připojení k portu sériové konzoly.

Řešení:

Proveďte upgrade na verzi FOS 8.2.2d nebo FOS 9.0.0 nebo novější a spusťte příkaz seccryptocfg .

Další informace

Poznámka: Problém byl interně zjištěn během testování SQA verze FOS 9.0.0 a během vývojového cyklu byly provedeny změny. Číslo interní závady se nezobrazuje v poznámkách k verzi FOS v8.2.2d nebo FOS v9.0.0.

Dotčené produkty

Connectrix B-Series

Produkty

Connectrix B-Series Software
Vlastnosti článku
Číslo článku: 000220106
Typ článku: Solution
Poslední úprava: 02 zář 2025
Verze:  3
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.