「Connectrix B-Series：複数のSSHパラメーターが同時に変更された場合、seccryptocfgがSSHD構成を適切に更新しないことがある

seccryptocfgを実行して同じコマンドで複数のSSHパラメーター(cipher、kex、mac)を変更すると、SSHD構成が正しくアップデートされないか、SSHDプロセスが再起動しない場合があります。seccryptocfgコマンドの出力には、SSHが希望どおりに構成されていることが示されていても、表示された構成が有効でない場合があります

SSHパラメーターを変更した後、seccryptocfgは、実行中のSSHD構成とは異なる構成を示す場合があります

これは通常、報告されたセキュリティ スキャンの脆弱性を解決するためにSSHパラメーターを更新するときに発生します。ユーザーが脆弱な項目を無効にし、 seccryptocfg コマンドの出力に表示されなくなった後、SSHDプロセスが正しく更新されなかったため、セキュリティ スキャンで引き続き報告される場合があります。

seccryptocfgコマンドは、SSHパラメーター(cipher、kex、mac)が変更されるたびにSSHDプロセスの再起動を試みます。同じコマンドで複数のパラメーターが設定されている場合、基礎となる構成ファイルですべてのSSHパラメーターが更新される前にユーザーのSSHセッションが終了するか、SSHDが再起動する前にSSHセッションが終了することがあります。

対象ソフトウェア リリース:v8.2.2c以前

回避策：

使用可能な回避策がいくつかあります。

• seccryptocfgを使用してSSHパラメーターを更新する場合は、一度に1つのパラメーターのみを変更します。

  たとえば、次のコマンドは、同じコマンドの「cipher」パラメーターと「kex」パラメーターの両方を更新し、この問題が発生する可能性があります。

  seccryptocfg --replace -type SSH -cipher aes128-ctr,aes192-ctr  -kex ecdh-sha2-nistp256,ecdh-sha2-nistp384

  上記のコマンドを次の2つのコマンドに分割すると、この問題を回避できます。

  seccryptocfg --replace -type SSH -cipher aes128-ctr,aes192-ctr

  seccryptocfg --replace -type SSH -kex ecdh-sha2-nistp256,ecdh-sha2-nistp384

• この問題を回避するもう 1 つの方法は、telnet セッションまたはシリアルコンソールポート接続のいずれかで seccryptocfg コマンドを使用することです。

解像度：

FOS v8.2.2dまたはFOS v9.0.0以降にアップグレードしてから、 seccryptocfg コマンドを実行します。