Парча Connectrix: Застаріле налаштування SHA1 для вразливості SSH

Summary: Застарілий параметр SHA1 для вразливості SSH.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

У виході seccryptocfg немає шифрів SHA1. Але сканування безпеки все одно позначає цю вразливість. 
 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

 

Cause

У версіях FOS до FOS 9.2.2 хост-ключ або pubkey RSA SSH використовують алгоритм хешування (SHA1), який більше не вважається достатньо потужним і часто повідомляється як потенційна вразливість інструментами сканування (такими як Qualys).

Хоча користувачі можуть генерувати та використовувати ECDSA SSH hostkey/pubkey замість RSA, FOS версії 9.2.2 вдосконалено, щоб дозволити адміністратору налаштовувати SSH HostkeyAlgorithms та PubkeyAlgorithms для з'єднань SSH до/з FOS та забезпечувати надійніший ключ хоста/pubkey RSA за допомогою команди seccryptocfg.
 

Resolution

Оновіть перемикач до FOS 9.2.2.

Криптографічні шаблони у FOS версії 9.2.2 оновлюються записами ключів "HostKeyAlgorithms" і "PubKeyAlgorithms" під SSH.

Приклад для платформ, що постачають із FOS v9.2.2 із заводу:
 

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

 

Так, нові атрибути "HostkeyAlg" і "PubkeyAlg" доступні за допомогою команди 'seccryptocfg --apply' для налаштування платформ, оновлених до FOS v9.2.2.
ПРИМІТКА: При налаштуванні SSH HostkeyAlgorithms та PubkeyAlgorithms за допомогою використання 'seccryptocfg --apply', служба SSH (у FOS) перезапускається для завантаження нової конфігурації, і всі існуючі сеанси SSH на поточному CP, а також на резервному CP (у шасі) будуть завершені.

Приклад:

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’

 

Products

Connectrix B-Series Hardware, Connectrix ED-DCX6-8B
Article Properties
Article Number: 000330885
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.