PowerScale: SSH Anahtar Değişimi Algoritması, güvenlik açığı tarayıcıları tarafından işaretlendi: diffie-hellman-group1-sha1
Sammendrag: Bu makalede, kritik olmayan ancak güvenlik açığı taramalarında zayıf bir şifre olarak görülebilen Isilon için bu güvenlik açığının nasıl düzeltileceği açıklanmaktadır.
Denne artikkelen gjelder for
Denne artikkelen gjelder ikke for
Denne artikkelen er ikke knyttet til noe bestemt produkt.
Det er ikke produktversjonene som identifiseres i denne artikkelen.
Symptomer
SSHD Anahtar Değişimi Algoritmaları.
Onefs, tarayıcı tarafından bir güvenlik açığı olarak işaretlenen diffie-hellman-group-exchange-sha1 anahtar değişim algoritmalarını etkinleştirdi.
Bir güvenlik açığı tarama raporunda aşağıdaki açıklama görüntülenebilir:
Güvenlik açığı: Kullanımdan kaldırılan SSH Şifreleme Ayarları
TEHDİDİ: SSH protokolü (Secure Shell), bir bilgisayardan diğerine güvenli uzaktan oturum açma yöntemidir. Hedef, iletişim kurmak için kullanımdan kaldırılan SSH şifreleme ayarlarını kullanıyor.
ETKİSİ: Ortadaki adam saldırganı bu güvenlik açığından yararlanarak oturum anahtarının ve hatta mesajların şifresini çözmek üzere iletişimi kaydedebilir.
ÇÖZÜM: Kullanımdan kaldırılan şifreleme ayarlarını kullanmaktan kaçının. SSH'yi yapılandırırken en iyi uygulamaları kullanın.
Onefs, tarayıcı tarafından bir güvenlik açığı olarak işaretlenen diffie-hellman-group-exchange-sha1 anahtar değişim algoritmalarını etkinleştirdi.
Bir güvenlik açığı tarama raporunda aşağıdaki açıklama görüntülenebilir:
Güvenlik açığı: Kullanımdan kaldırılan SSH Şifreleme Ayarları
TEHDİDİ: SSH protokolü (Secure Shell), bir bilgisayardan diğerine güvenli uzaktan oturum açma yöntemidir. Hedef, iletişim kurmak için kullanımdan kaldırılan SSH şifreleme ayarlarını kullanıyor.
ETKİSİ: Ortadaki adam saldırganı bu güvenlik açığından yararlanarak oturum anahtarının ve hatta mesajların şifresini çözmek üzere iletişimi kaydedebilir.
ÇÖZÜM: Kullanımdan kaldırılan şifreleme ayarlarını kullanmaktan kaçının. SSH'yi yapılandırırken en iyi uygulamaları kullanın.
Årsak
SSH istemcisi Isilon'a SSH aracılığıyla bağlanmak için aynı zayıf kex algoritmalarını kullandığında istemci hassas bilgileri açığa çıkarabilir. Bu durumda bu, Isilon/Müşteri üzerinde daha az etki sağlar.
Bu algoritmalardan etkilenmiyoruz veya etkilenmiyoruz.
Onefs 8.1.2, imzalama algoritması bir soruna neden olarak kullanılırsa diffie-hellman-group-exchange-sha1:
SHA1 tarafından korunmaz veya etkilenmez. TLS tarafından kullanılan imza algoritması RSA ile SHA256'dır.
SSH'de kex algoritmasında sha1 ile diffie-hellman kullanıyoruz. Ancak bu algoritmalar sıralı tercihe göre seçilir. SHA2 algoritması listenin en üstünde bulunur ve ardından geriye dönük uyumluluk için SHA1 listelenir.
Sunucu ve istemci anlaşır ve listede eşleşen seçilir. Bu nedenle, istemciler kex algoritmaları ile güncel tutulursa, daha fazla sorun olmayacak ve SHA1'in kex algoritması olarak seçilmesiyle diffie-hellman sorunu olmayacaktır.
Onefs bunu en son sürümde kaldırdı (yukarıda 8.2.2)
Bu algoritmalardan etkilenmiyoruz veya etkilenmiyoruz.
Onefs 8.1.2, imzalama algoritması bir soruna neden olarak kullanılırsa diffie-hellman-group-exchange-sha1:
SHA1 tarafından korunmaz veya etkilenmez. TLS tarafından kullanılan imza algoritması RSA ile SHA256'dır.
SSH'de kex algoritmasında sha1 ile diffie-hellman kullanıyoruz. Ancak bu algoritmalar sıralı tercihe göre seçilir. SHA2 algoritması listenin en üstünde bulunur ve ardından geriye dönük uyumluluk için SHA1 listelenir.
Sunucu ve istemci anlaşır ve listede eşleşen seçilir. Bu nedenle, istemciler kex algoritmaları ile güncel tutulursa, daha fazla sorun olmayacak ve SHA1'in kex algoritması olarak seçilmesiyle diffie-hellman sorunu olmayacaktır.
Onefs bunu en son sürümde kaldırdı (yukarıda 8.2.2)
Oppløsning
Bunu 8.1.2'den kaldırmanız gerekiyorsa veya OneFS 8.2.2 veya sonraki bir sürüme yükseltemiyorsanız zayıf kex algoritmalarını kaldırmak için geçici çözüm şu şekildedir:
Onefs 8.2.2'nin kex algoritmalarını kontrol edin, bu zayıf kex algoritması kaldırıldı:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Varsa izin verilen kex algoritmalarından kaldırmak için ssh yapılandırmasını değiştirin.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restart SSHD service:
# isi_for_array 'killall -HUP sshd'
Onefs 8.2.2'nin kex algoritmalarını kontrol edin, bu zayıf kex algoritması kaldırıldı:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Varsa izin verilen kex algoritmalarından kaldırmak için ssh yapılandırmasını değiştirin.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restart SSHD service:
# isi_for_array 'killall -HUP sshd'
Berørte produkter
PowerScale OneFSArtikkelegenskaper
Artikkelnummer: 000195307
Artikkeltype: Solution
Sist endret: 07 sep. 2022
Versjon: 3
Få svar på spørsmålene dine fra andre Dell-brukere
Støttetjenester
Sjekk om enheten din er dekket av støttetjenestene.