PowerScale: SSH Anahtar Değişimi Algoritması, güvenlik açığı tarayıcıları tarafından işaretlendi: diffie-hellman-group1-sha1
Sammanfattning: Bu makalede, kritik olmayan ancak güvenlik açığı taramalarında zayıf bir şifre olarak görülebilen Isilon için bu güvenlik açığının nasıl düzeltileceği açıklanmaktadır.
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
SSHD Anahtar Değişimi Algoritmaları.
Onefs, tarayıcı tarafından bir güvenlik açığı olarak işaretlenen diffie-hellman-group-exchange-sha1 anahtar değişim algoritmalarını etkinleştirdi.
Bir güvenlik açığı tarama raporunda aşağıdaki açıklama görüntülenebilir:
Güvenlik açığı: Kullanımdan kaldırılan SSH Şifreleme Ayarları
TEHDİDİ: SSH protokolü (Secure Shell), bir bilgisayardan diğerine güvenli uzaktan oturum açma yöntemidir. Hedef, iletişim kurmak için kullanımdan kaldırılan SSH şifreleme ayarlarını kullanıyor.
ETKİSİ: Ortadaki adam saldırganı bu güvenlik açığından yararlanarak oturum anahtarının ve hatta mesajların şifresini çözmek üzere iletişimi kaydedebilir.
ÇÖZÜM: Kullanımdan kaldırılan şifreleme ayarlarını kullanmaktan kaçının. SSH'yi yapılandırırken en iyi uygulamaları kullanın.
Onefs, tarayıcı tarafından bir güvenlik açığı olarak işaretlenen diffie-hellman-group-exchange-sha1 anahtar değişim algoritmalarını etkinleştirdi.
Bir güvenlik açığı tarama raporunda aşağıdaki açıklama görüntülenebilir:
Güvenlik açığı: Kullanımdan kaldırılan SSH Şifreleme Ayarları
TEHDİDİ: SSH protokolü (Secure Shell), bir bilgisayardan diğerine güvenli uzaktan oturum açma yöntemidir. Hedef, iletişim kurmak için kullanımdan kaldırılan SSH şifreleme ayarlarını kullanıyor.
ETKİSİ: Ortadaki adam saldırganı bu güvenlik açığından yararlanarak oturum anahtarının ve hatta mesajların şifresini çözmek üzere iletişimi kaydedebilir.
ÇÖZÜM: Kullanımdan kaldırılan şifreleme ayarlarını kullanmaktan kaçının. SSH'yi yapılandırırken en iyi uygulamaları kullanın.
Orsak
SSH istemcisi Isilon'a SSH aracılığıyla bağlanmak için aynı zayıf kex algoritmalarını kullandığında istemci hassas bilgileri açığa çıkarabilir. Bu durumda bu, Isilon/Müşteri üzerinde daha az etki sağlar.
Bu algoritmalardan etkilenmiyoruz veya etkilenmiyoruz.
Onefs 8.1.2, imzalama algoritması bir soruna neden olarak kullanılırsa diffie-hellman-group-exchange-sha1:
SHA1 tarafından korunmaz veya etkilenmez. TLS tarafından kullanılan imza algoritması RSA ile SHA256'dır.
SSH'de kex algoritmasında sha1 ile diffie-hellman kullanıyoruz. Ancak bu algoritmalar sıralı tercihe göre seçilir. SHA2 algoritması listenin en üstünde bulunur ve ardından geriye dönük uyumluluk için SHA1 listelenir.
Sunucu ve istemci anlaşır ve listede eşleşen seçilir. Bu nedenle, istemciler kex algoritmaları ile güncel tutulursa, daha fazla sorun olmayacak ve SHA1'in kex algoritması olarak seçilmesiyle diffie-hellman sorunu olmayacaktır.
Onefs bunu en son sürümde kaldırdı (yukarıda 8.2.2)
Bu algoritmalardan etkilenmiyoruz veya etkilenmiyoruz.
Onefs 8.1.2, imzalama algoritması bir soruna neden olarak kullanılırsa diffie-hellman-group-exchange-sha1:
SHA1 tarafından korunmaz veya etkilenmez. TLS tarafından kullanılan imza algoritması RSA ile SHA256'dır.
SSH'de kex algoritmasında sha1 ile diffie-hellman kullanıyoruz. Ancak bu algoritmalar sıralı tercihe göre seçilir. SHA2 algoritması listenin en üstünde bulunur ve ardından geriye dönük uyumluluk için SHA1 listelenir.
Sunucu ve istemci anlaşır ve listede eşleşen seçilir. Bu nedenle, istemciler kex algoritmaları ile güncel tutulursa, daha fazla sorun olmayacak ve SHA1'in kex algoritması olarak seçilmesiyle diffie-hellman sorunu olmayacaktır.
Onefs bunu en son sürümde kaldırdı (yukarıda 8.2.2)
Upplösning
Bunu 8.1.2'den kaldırmanız gerekiyorsa veya OneFS 8.2.2 veya sonraki bir sürüme yükseltemiyorsanız zayıf kex algoritmalarını kaldırmak için geçici çözüm şu şekildedir:
Onefs 8.2.2'nin kex algoritmalarını kontrol edin, bu zayıf kex algoritması kaldırıldı:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Varsa izin verilen kex algoritmalarından kaldırmak için ssh yapılandırmasını değiştirin.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restart SSHD service:
# isi_for_array 'killall -HUP sshd'
Onefs 8.2.2'nin kex algoritmalarını kontrol edin, bu zayıf kex algoritması kaldırıldı:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Varsa izin verilen kex algoritmalarından kaldırmak için ssh yapılandırmasını değiştirin.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restart SSHD service:
# isi_for_array 'killall -HUP sshd'
Berörda produkter
PowerScale OneFSArtikelegenskaper
Artikelnummer: 000195307
Artikeltyp: Solution
Senast ändrad: 07 sep. 2022
Version: 3
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.