PowerScale：安全漏洞扫描程序标记了 SSH 密钥交换算法：diffie-hellman-group1-sha1

SSHD 密钥交换算法。
Onefs 确实启用了密钥交换算法 diffie-hellman-group-exchange-sha1，该算法被扫描程序标记为漏洞。

漏洞扫描报告中可能会显示以下描述：

Vulnerability：弃用的 SSH 加密设置
威胁：SSH 协议 （Secure Shell） 是一种从一台计算机到另一台计算机进行安全远程登录的方法。目标使用已弃用的 SSH 加密设置进行通信。
影响：中间人攻击者可能会利用此漏洞记录通信，从而解密会话密钥甚至消息。
解决 方案：避免使用已弃用的加密设置。配置 SSH 时使用最佳实践。

当 ssh 客户端使用相同的弱 kex 算法通过 ssh 连接 Isilon 时，客户端可能会暴露敏感信息。在这种情况下，Isilon/客户端的影响较小。

我们不受这些算法的攻击或影响。

Onefs 8.1.2 不容易受到 diffie-hellman-group-exchange-sha1：
SHA1 的影响，如果用作签名算法会导致问题。TLS 使用的签名算法是带有 RSA 的 SHA256。
在 SSH 中，我们在 kex 算法中使用带有 sha1 的 diffie-hellman。但这些算法是按顺序首选项选择的。SHA2 算法显示在列表顶部，随后列出了 SHA1 以实现向后兼容性。
服务器和客户端协商，并选择列表中匹配的一个。因此，如果客户端使用 kex 算法保持更新，那么就不会有进一步的问题，也不会有 diffie-hellman 的问题，SHA1 被选为 kex 算法。

Onefs 在最新版本（8.2.2 以上）中删除了它

如果您需要将其从 8.1.2 中删除或无法升级到 OneFS 8.2.2 或更高版本，这是删除弱 kex 算法的解决方法：

检查 Onefs 8.2.2 的 kex 算法，此弱 kex 算法已被删除：
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1

如果存在，请修改 ssh 配置以将其从允许的 kex 算法中删除。
# isi ssh modify --kex-algorithms=curve25519-sha256，curve25519-sha256@libssh.org，ecdh-sha2-nistp256，ecdh-sha2-nistp384，ecdh-sha2-nistp521，diffie-hellman-group-exchange-sha256，diffie-hellman-group16-sha512，diffie-hellman-group18-sha512，diffie-hellman-group14-sha256

Restart SSHD service：
# isi_for_array 'killall -HUP sshd'