PowerScale: SSH Anahtar Değişimi Algoritması, güvenlik açığı tarayıcıları tarafından işaretlendi: diffie-hellman-group1-sha1
Summary: Bu makalede, kritik olmayan ancak güvenlik açığı taramalarında zayıf bir şifre olarak görülebilen Isilon için bu güvenlik açığının nasıl düzeltileceği açıklanmaktadır.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
SSHD Anahtar Değişimi Algoritmaları.
Onefs, tarayıcı tarafından bir güvenlik açığı olarak işaretlenen diffie-hellman-group-exchange-sha1 anahtar değişim algoritmalarını etkinleştirdi.
Bir güvenlik açığı tarama raporunda aşağıdaki açıklama görüntülenebilir:
Güvenlik açığı: Kullanımdan kaldırılan SSH Şifreleme Ayarları
TEHDİDİ: SSH protokolü (Secure Shell), bir bilgisayardan diğerine güvenli uzaktan oturum açma yöntemidir. Hedef, iletişim kurmak için kullanımdan kaldırılan SSH şifreleme ayarlarını kullanıyor.
ETKİSİ: Ortadaki adam saldırganı bu güvenlik açığından yararlanarak oturum anahtarının ve hatta mesajların şifresini çözmek üzere iletişimi kaydedebilir.
ÇÖZÜM: Kullanımdan kaldırılan şifreleme ayarlarını kullanmaktan kaçının. SSH'yi yapılandırırken en iyi uygulamaları kullanın.
Onefs, tarayıcı tarafından bir güvenlik açığı olarak işaretlenen diffie-hellman-group-exchange-sha1 anahtar değişim algoritmalarını etkinleştirdi.
Bir güvenlik açığı tarama raporunda aşağıdaki açıklama görüntülenebilir:
Güvenlik açığı: Kullanımdan kaldırılan SSH Şifreleme Ayarları
TEHDİDİ: SSH protokolü (Secure Shell), bir bilgisayardan diğerine güvenli uzaktan oturum açma yöntemidir. Hedef, iletişim kurmak için kullanımdan kaldırılan SSH şifreleme ayarlarını kullanıyor.
ETKİSİ: Ortadaki adam saldırganı bu güvenlik açığından yararlanarak oturum anahtarının ve hatta mesajların şifresini çözmek üzere iletişimi kaydedebilir.
ÇÖZÜM: Kullanımdan kaldırılan şifreleme ayarlarını kullanmaktan kaçının. SSH'yi yapılandırırken en iyi uygulamaları kullanın.
Cause
SSH istemcisi Isilon'a SSH aracılığıyla bağlanmak için aynı zayıf kex algoritmalarını kullandığında istemci hassas bilgileri açığa çıkarabilir. Bu durumda bu, Isilon/Müşteri üzerinde daha az etki sağlar.
Bu algoritmalardan etkilenmiyoruz veya etkilenmiyoruz.
Onefs 8.1.2, imzalama algoritması bir soruna neden olarak kullanılırsa diffie-hellman-group-exchange-sha1:
SHA1 tarafından korunmaz veya etkilenmez. TLS tarafından kullanılan imza algoritması RSA ile SHA256'dır.
SSH'de kex algoritmasında sha1 ile diffie-hellman kullanıyoruz. Ancak bu algoritmalar sıralı tercihe göre seçilir. SHA2 algoritması listenin en üstünde bulunur ve ardından geriye dönük uyumluluk için SHA1 listelenir.
Sunucu ve istemci anlaşır ve listede eşleşen seçilir. Bu nedenle, istemciler kex algoritmaları ile güncel tutulursa, daha fazla sorun olmayacak ve SHA1'in kex algoritması olarak seçilmesiyle diffie-hellman sorunu olmayacaktır.
Onefs bunu en son sürümde kaldırdı (yukarıda 8.2.2)
Bu algoritmalardan etkilenmiyoruz veya etkilenmiyoruz.
Onefs 8.1.2, imzalama algoritması bir soruna neden olarak kullanılırsa diffie-hellman-group-exchange-sha1:
SHA1 tarafından korunmaz veya etkilenmez. TLS tarafından kullanılan imza algoritması RSA ile SHA256'dır.
SSH'de kex algoritmasında sha1 ile diffie-hellman kullanıyoruz. Ancak bu algoritmalar sıralı tercihe göre seçilir. SHA2 algoritması listenin en üstünde bulunur ve ardından geriye dönük uyumluluk için SHA1 listelenir.
Sunucu ve istemci anlaşır ve listede eşleşen seçilir. Bu nedenle, istemciler kex algoritmaları ile güncel tutulursa, daha fazla sorun olmayacak ve SHA1'in kex algoritması olarak seçilmesiyle diffie-hellman sorunu olmayacaktır.
Onefs bunu en son sürümde kaldırdı (yukarıda 8.2.2)
Resolution
Bunu 8.1.2'den kaldırmanız gerekiyorsa veya OneFS 8.2.2 veya sonraki bir sürüme yükseltemiyorsanız zayıf kex algoritmalarını kaldırmak için geçici çözüm şu şekildedir:
Onefs 8.2.2'nin kex algoritmalarını kontrol edin, bu zayıf kex algoritması kaldırıldı:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Varsa izin verilen kex algoritmalarından kaldırmak için ssh yapılandırmasını değiştirin.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restart SSHD service:
# isi_for_array 'killall -HUP sshd'
Onefs 8.2.2'nin kex algoritmalarını kontrol edin, bu zayıf kex algoritması kaldırıldı:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Varsa izin verilen kex algoritmalarından kaldırmak için ssh yapılandırmasını değiştirin.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restart SSHD service:
# isi_for_array 'killall -HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sept 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.