IDPA:安全漏洞扫描检测到 SSH 包含弱 CBC 密码
摘要: PowerProtect 数据保护系列备份一体机和 IDPA:安全漏洞扫描检测到以下产品上的 SSH 包含弱密码块链 (CBC) 密码:ACM、DPA(报告和分析)、Search、Avamar(保护软件)和 DPC (System Manager)
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
在端口 22 上上述 IDPA 组件上检测到以下漏洞时:
| 漏洞标题 | 服务端口 | 漏洞严重性级别 | 漏洞证明 | 漏洞解决方案 |
|---|---|---|---|---|
| SSH CBC 漏洞 | 22 | 3 | * 运行 SSH 服务 * 使用不安全的 CBC 密码: aes128-cbc,aes192-cbc,aes256-cbc |
禁用 CBC 密码套件的 SSH 支持。 SSH 可以使用计数器 (CTR) 模式加密来完成。此模式通过加密“计数器”函数的连续值来生成密钥流。为了缓解此漏洞,可以将 SSH 设置为使用 CTR 模式而不是 CBC 模式。 |
提醒:此过程可能还适用于以下 IDPA 组件:
- DPA(报告和分析)
- 搜索
- Avamar(保护软件)
- DPC (System Manager)
如果安全扫描程序检测到上述组件上存在 SSH CBC 漏洞,则可以遵循相同的修正计划。
按照以下步骤在 ACM 上的 SSH 中禁用 CBC:
- 使用 root 用户帐户通过 SSH 连接到 ACM
对于 Avamar 和 DPC,首先以“admin”用户身份登录,然后使用 su 命令为您的组织配置主要和次要 IT 联系人。
- 转至
/etc/ssh文件夹中。
# cd /etc/ssh
- 复制当前
sshd_config。例如:
# cp -p sshd_config sshd_config.default
- 打开
sshd_config文件中定义。
# vi sshd_config
- 搜索 密码并删除
aes128-cbc,aes192-cbc,aes256-cbc从列表中。
要查找字符串,请键入/后跟搜索的字符串,然后按 Enter 键。vi 光标位于字符串的下一个匹配项处。然后,使用n以查找下一个匹配结果。
在这种情况下,放下/Cipher然后按 Enter 键:
按n要查找下一个匹配的结果,请执行以下作:
提醒:以
# 被视为评论,不会生效。
当它到达配置参数时,请使用 i 进入 vi 插入模式并进行更改:
更改自:
收件人:
- 保存 文件。
按Esc在键盘上返回 vi 命令模式。然后按:wq!要保存文件,请执行以下作:
7.重新启动sshd使用以下命令:
# service sshd restart # service sshd status
而 sshd 应运行:
- 通过运行以下命令,验证 CBC 密码是否已在 SSH 中禁用:
# sshd -T |grep -i ciphers ciphers aes128-ctr,aes192-ctr,aes256-ctr
- 在新的 (Putty) 会话中通过 SSH 连接到 ACM,以确认用户是否可以登录到 ACM。
- 登录到 IDPA ACM 控制面板并验证所有组件是否处于绿色状态。
提醒:在注销之前,确认用户可以使用 SSH 登录到 ACM。
其他信息
如果用户在更改后无法使用 SSH 登录到 ACM,则可以从 ESXi 或 vCetner 登录虚拟机控制台并查看上述步骤。
受影响的产品
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software
, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000205074
文章类型: How To
上次修改时间: 25 8月 2025
版本: 12
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。