PowerProtect DPシリーズ アプライアンスとIDPAレポートSHA1の廃止されたSSHの設定(QID 38909)
概要: セキュリティ スキャナーが、PowerProtect Data Protectionシリーズ アプライアンスまたはIntegration Data Protection Appliance (IDPA)のSSH暗号形式設定QID 38909を非推奨と報告します。
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
セキュリティ文書の種類
Security KB
CVE識別子
Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909
問題の概要
Secure Shell (SSH)で認証に使用される ssh-rsa 暗号化アルゴリズムは、OpenSSHによって廃止が宣言されました。ssh-rsaの廃止は、主にセキュリティに関する懸念に起因しています。計算能力が向上するにつれて、攻撃者がRSAキー、特に短いキー長で生成されたキーを解読する可能性が高まっています。これにより、最新の脅威からSSH接続を保護する際の信頼性が低下します。
注:この記事は、PowerProtect Data Protectionシリーズ アプライアンスまたはIDPAバージョン2.7.6のみを対象としています。以前のバージョンのIDPAの場合は、バージョン2.7.6にアップグレードすることをお勧めします。
IDPAバージョン2.7.6では、次のコンポーネントのSSHでssh-rsa暗号化アルゴリズムがデフォルトで有効になっています。
- Appliance Configuration Manager (ACM)
- 保護ソフトウェア(Avamar)
- 仮想マシン(VM)プロキシ(Avamarプロキシ)
- 保護ストレージ(Data Domain)
- レポート作成と分析(DPAアプリとデータストア)
- 検索
- Integrated Dell Remote Access Controller(iDRAC)
次のコマンドを使用して、システムがssh-rsaの脆弱性の影響を受けているかどうかを確認します。
ssh -o "HostKeyAlgorithms ssh-rsa" localhostリモート検証が必要な場合は、システムのIPアドレスを入力します。
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>
システムがssh-rsaに対して脆弱な場合は、RSAキーで応答します。出力例を次に示します。
The authenticity of host 'localhost (127.0.0.1)' can't be established. RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g. Are you sure you want to continue connecting (yes/no)?
システムでssh-rsaが無効になっている場合、ネゴシエーションは失敗し、通信を確立できませんでした。出力例を次に示します。
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
推奨事項
次の回避策では、IDPA関連コンポーネントのssh-rsaホスト キーを無効にします。
ACM、Avamar、Avamar Proxy、DPA、検索の場合:
1.rootとしてVMにログインします。AvamarおよびAvamarプロキシの場合は、最初に管理者としてログインしてから、suでrootに戻ります。
2.作業ディレクトリーを/etc/sshに変更します。
3.既存の/etc/ssh/sshd_configのバックアップ コピーを作成します
4./etc/ssh/sshd_configを変更し、すべてのHostKey設定の構成ファイルで「HostKey /etc/ssh/ssh_host_ecdsa_key」と「HostKey /etc/ssh/ssh_host_ed25519_key」のみを許可します。
図1: 「HostKey /etc/ssh/ssh_host_ecdsa_key」と「HostKey /etc/ssh/ssh_host_ed25519_key」のみがアクティブであることを示す例。
5./etc/ssh/sshd_configファイルの構文をテストします。次のコマンドでは「0」が出力される必要があります。そうでない場合は、続行する前にファイル内の構文エラーを修正します。
6.sshdプロセスを再開します。
7.ホスト キーssh-rsaが無効になっている場合、ssh-rsaをホスト キーとして使用すると、「no matching host key type found」というメッセージが表示されます。
Data Domainの場合:
iDRACの場合:
1.iDRAC RACADMコマンド ライン インターフェイスにログインします
2.次のコマンドを使用して、既存のSSH暗号設定を確認します。
3.次のコマンドを使用して、SSH暗号設定を更新します。
4.SSH暗号の設定を再度確認します。
上記のコマンドで想定される出力の例を次に示します。
5.SSHによってssh-rsaがホスト キーとして無効になっていることを確認します。
ACM、Avamar、Avamar Proxy、DPA、検索の場合:
1.rootとしてVMにログインします。AvamarおよびAvamarプロキシの場合は、最初に管理者としてログインしてから、suでrootに戻ります。
2.作業ディレクトリーを/etc/sshに変更します。
cd /etc/ssh
3.既存の/etc/ssh/sshd_configのバックアップ コピーを作成します
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
4./etc/ssh/sshd_configを変更し、すべてのHostKey設定の構成ファイルで「HostKey /etc/ssh/ssh_host_ecdsa_key」と「HostKey /etc/ssh/ssh_host_ed25519_key」のみを許可します。
注:行はハッシュタグ (#) で始まりますが、これは有効ではなく、システムはそれをコメントのみと見なします。
図1: 「HostKey /etc/ssh/ssh_host_ecdsa_key」と「HostKey /etc/ssh/ssh_host_ed25519_key」のみがアクティブであることを示す例。
5./etc/ssh/sshd_configファイルの構文をテストします。次のコマンドでは「0」が出力される必要があります。そうでない場合は、続行する前にファイル内の構文エラーを修正します。
sshd -t |echo $? 0
6.sshdプロセスを再開します。
systemctl restart sshd
7.ホスト キーssh-rsaが無効になっている場合、ssh-rsaをホスト キーとして使用すると、「no matching host key type found」というメッセージが表示されます。
ssh -o "HostKeyAlgorithms ssh-rsa" localhost Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
Data Domainの場合:
注:回避策では、DD OS BASHモードにアクセスする必要があるため、IDPAまたはData Domainのサポートが必要です。
注:sshd_configファイルに加えられた変更は、再起動またはアップグレード後に保存されません。新しいDD OSバージョン8.0または7.10.1.40がリリースされて恒久的な解決策が得られるまで、これらの変更を再適用する必要があります。これらのDD OSバージョンがIDPAに統合されるまでの推定時間はありません。
iDRACの場合:
1.iDRAC RACADMコマンド ライン インターフェイスにログインします
2.次のコマンドを使用して、既存のSSH暗号設定を確認します。
get idrac.sshcrypto.ciphers
3.次のコマンドを使用して、SSH暗号設定を更新します。
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
4.SSH暗号の設定を再度確認します。
get idrac.sshcrypto.ciphers
上記のコマンドで想定される出力の例を次に示します。
racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com [Key=idrac.Embedded.1#SSHCrypto.1] Object value modified successfully racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>
5.SSHによってssh-rsaがホスト キーとして無効になっていることを確認します。
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address> Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
その他の情報
以前の既知のホスト キーが無効です
ssh-rsaホスト キーを無効にすると、SSH known_hostsファイルに以前に保存したRSAホスト キーは無効になります。次のようなエラーが表示されます。
特定のホストのSSH known_hostsファイルを更新するには、次のコマンドを使用できます。
たとえば、次のようになります。
「一致する暗号が見つかりません」エラーでiDRACにSSHで接続します
iDRAC暗号をアップデートした後、ACMまたはその他のVMからiDRACへのSSHで次のエラー メッセージが表示されることがあります。この例では、iDRAC IPアドレスは10.60.9.156です。
この問題を解決するには、2つのオプションがあります。
オプション1:
iDRACにSSHで接続する場合は、「-c aes128-gcm@openssh.com」オプションを追加します。
例:
オプション2:
/etc/ssh/ssh_configを変更して、暗号 aes128-gcm@openssh.com と aes256-gcm@openssh.com を含めます
1.rootとしてVMにログインします。AvamarおよびAvamarプロキシの場合は、最初に管理者としてログインしてから、suでrootに戻ります。
2.作業ディレクトリーを/etc/sshに変更します。
3.既存の/etc/ssh/ssh_configのバックアップコピーを作成します。
4./etc/ssh/ssh_configを変更して、暗号 aes128-gcm@openssh.com と aes256-gcm@openssh.com を含めます
差出人:
図2: /etc/ssh/ssh_config
To:
図3のデフォルトの暗号設定は次のとおりです。/etc/ssh/ssh_config
の新しい暗号設定/etc/ssh/ssh_configを更新して暗号 aes128-gcm@openssh.com と aes256-gcm@openssh.com を含めると、「一致する暗号が見つかりません」を解決する必要があります。
WindowsベースのSSHクライアントが「no matching cipher found」エラーを受信した場合:
図4: WindowsベースのSSHクライアントで「一致する暗号が見つかりません」エラーが表示されます
PuTTYバージョン0.81は問題なしでテストされています。
図5: PuTTY 0.81を使用して、WindowsからiDRACにアクセスできます。
ssh-rsaホスト キーを無効にすると、SSH known_hostsファイルに以前に保存したRSAホスト キーは無効になります。次のようなエラーが表示されます。
idpa-acm:~ # ssh 192.168.100.100 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending RSA key in /root/.ssh/known_hosts:9 You can use following command to remove the offending key: ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts ECDSA host key for 192.168.100.100 has changed and you have requested strict checking. Host key verification failed. idpa-acm:~ #
特定のホストのSSH known_hostsファイルを更新するには、次のコマンドを使用できます。
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts
たとえば、次のようになります。
/root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old idpa-acm:~ # ssh 192.168.100.100 The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established. ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Are you sure you want to continue connecting (yes/no)?
「一致する暗号が見つかりません」エラーでiDRACにSSHで接続します
iDRAC暗号をアップデートした後、ACMまたはその他のVMからiDRACへのSSHで次のエラー メッセージが表示されることがあります。この例では、iDRAC IPアドレスは10.60.9.156です。
idpa-acm:~ # ssh 10.60.9.156 Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com idpa-acm:~ #
この問題を解決するには、2つのオプションがあります。
オプション1:
iDRACにSSHで接続する場合は、「-c aes128-gcm@openssh.com」オプションを追加します。
例:
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156 Password: racadm>>
オプション2:
/etc/ssh/ssh_configを変更して、暗号 aes128-gcm@openssh.com と aes256-gcm@openssh.com を含めます
1.rootとしてVMにログインします。AvamarおよびAvamarプロキシの場合は、最初に管理者としてログインしてから、suでrootに戻ります。
2.作業ディレクトリーを/etc/sshに変更します。
cd /etc/ssh
3.既存の/etc/ssh/ssh_configのバックアップコピーを作成します。
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup
4./etc/ssh/ssh_configを変更して、暗号 aes128-gcm@openssh.com と aes256-gcm@openssh.com を含めます
差出人:
図2: /etc/ssh/ssh_config
To:
図3のデフォルトの暗号設定は次のとおりです。/etc/ssh/ssh_config
の新しい暗号設定/etc/ssh/ssh_configを更新して暗号 aes128-gcm@openssh.com と aes256-gcm@openssh.com を含めると、「一致する暗号が見つかりません」を解決する必要があります。
WindowsベースのSSHクライアントが「no matching cipher found」エラーを受信した場合:
図4: WindowsベースのSSHクライアントで「一致する暗号が見つかりません」エラーが表示されます
PuTTYバージョン0.81は問題なしでテストされています。
図5: PuTTY 0.81を使用して、WindowsからiDRACにアクセスできます。
法的免責事項
対象製品
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文書のプロパティ
文書番号: 000224873
文書の種類: Security KB
最終更新: 18 8月 2025
バージョン: 4
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。