Zařízení PowerProtect řady DP a IDPA hlásí zastaralé nastavení SHA1 pro SSH (QID 38909)
摘要: Bezpečnostní skenery hlásí Zrušená kryptografická nastavení SSH QID 38909 pro zařízení PowerProtect řady Data Protection nebo zařízení Integration Data Protection Appliance (IDPA).
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
安全性文章类型
Security KB
CVE 标识符
Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909
问题摘要
Šifrovací algoritmus ssh-rsa , který se používá v Secure Shell (SSH) k ověřování, byl deklarován jako zastaralý v OpenSSH. Vyřazení ssh-rsa primárně pramení z obav o jeho bezpečnost. S rostoucím výpočetním výkonem je pro útočníky stále schůdnější prolomit klíče RSA, zejména ty, které byly generovány s kratšími délkami klíčů. Díky tomu je méně spolehlivý pro zabezpečení připojení SSH proti moderním hrozbám.
Poznámka: Tento článek je určen pouze pro zařízení PowerProtect řady Data Protection nebo IDPA verze 2.7.6. U starších verzí IDPA se doporučuje upgrade na verzi 2.7.6.
V zařízení IDPA verze 2.7.6 mají následující komponenty ve výchozím nastavení v protokolu SSH povolený šifrovací algoritmus ssh-rsa:
- Nástroj Appliance Configuration Manager (ACM)
- Software na ochranu (Avamar)
- Proxy virtuálního počítače (VM) (Avamar Proxy)
- Ochrana úložiště (Data Domain)
- Reporting a analýza (aplikace a datové úložiště DPA)
- Hledat
- Integrovaný řadič Integrated Dell Remote Access Controller (iDRAC)
Pomocí následujícího příkazu ověřte, zda je systém ohrožen chybou zabezpečení ssh-rsa:
ssh -o "HostKeyAlgorithms ssh-rsa" localhostnebo IP adresu systému, pokud je vyžadováno vzdálené ověření:
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>
Pokud je systém zranitelný vůči ssh-rsa, odpoví klíčem RSA. Tady je příklad výstupu:
The authenticity of host 'localhost (127.0.0.1)' can't be established. RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g. Are you sure you want to continue connecting (yes/no)?
Pokud systém zakáže ssh-rsa, vyjednávání selže a nedokáže navázat komunikaci. Tady je příklad výstupu:
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
建议
Následující zástupné řešení zakáže klíč hostitele ssh-rsa pro komponenty související s IDPA.
Pro ACM, Avamar, Avamar Proxy, DPA a vyhledávání:
1. Přihlaste se k virtuálnímu počítači jako uživatel root. V případě softwaru Avamar a serveru proxy se nejprve přihlaste jako správce a poté přejděte na uživatele root pomocí su.
2. Změňte pracovní adresář na /etc/ssh
3. Vytvořte záložní kopii existujícího souboru /etc/ssh/sshd_config
4. Upravte soubor /etc/ssh/sshd_config a povolte v konfiguračním souboru pouze parametry "HostKey /etc/ssh/ssh_host_ecdsa_key" a "HostKey /etc/ssh/ssh_host_ed25519_key":
Obrázek 1: Příklad ukazuje, že jsou aktivní pouze "HostKey /etc/ssh/ssh_host_ecdsa_key" a "HostKey /etc/ssh/ssh_host_ed25519_key".
5. Otestujte syntaxi souboru /etc/ssh/sshd_config, níže uvedený příkaz musí vypsat hodnotu "0". Pokud tomu tak není, opravte před pokračováním všechny syntaktické chyby v souboru:
6. Restartujte proces sshd:
7. Pokud je klíč hostitele ssh-rsa zakázán, zobrazí se při použití klíče ssh-rsa jako klíče hostitele zpráva "no matching host key type found":
Pro Data Domain:
Pro řadič iDRAC:
1. Přihlaste se k rozhraní
příkazového řádku RACADM řadiče iDRAC 2. Pomocí následujícího příkazu zkontrolujte stávající nastavení kryptografických šifer SSH:
3. Aktualizujte nastavení kryptografických šifer SSH pomocí následujícího příkazu:
4. Znovu ověřte nastavení kryptografických šifer SSH:
Zde je příklad očekávaného výstupu výše uvedených příkazů:
5. Ověřte, zda je protokol SSH zakázán jako klíč hostitele pomocí SSH:
Pro ACM, Avamar, Avamar Proxy, DPA a vyhledávání:
1. Přihlaste se k virtuálnímu počítači jako uživatel root. V případě softwaru Avamar a serveru proxy se nejprve přihlaste jako správce a poté přejděte na uživatele root pomocí su.
2. Změňte pracovní adresář na /etc/ssh
cd /etc/ssh
3. Vytvořte záložní kopii existujícího souboru /etc/ssh/sshd_config
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
4. Upravte soubor /etc/ssh/sshd_config a povolte v konfiguračním souboru pouze parametry "HostKey /etc/ssh/ssh_host_ecdsa_key" a "HostKey /etc/ssh/ssh_host_ed25519_key":
Poznámka: Řádek začíná hashtagem (#), který se neprojeví a systém jej považuje pouze za komentáře.
Obrázek 1: Příklad ukazuje, že jsou aktivní pouze "HostKey /etc/ssh/ssh_host_ecdsa_key" a "HostKey /etc/ssh/ssh_host_ed25519_key".
5. Otestujte syntaxi souboru /etc/ssh/sshd_config, níže uvedený příkaz musí vypsat hodnotu "0". Pokud tomu tak není, opravte před pokračováním všechny syntaktické chyby v souboru:
sshd -t |echo $? 0
6. Restartujte proces sshd:
systemctl restart sshd
7. Pokud je klíč hostitele ssh-rsa zakázán, zobrazí se při použití klíče ssh-rsa jako klíče hostitele zpráva "no matching host key type found":
ssh -o "HostKeyAlgorithms ssh-rsa" localhost Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
Pro Data Domain:
Poznámka: Zástupné řešení vyžaduje podporu IDPA nebo Data Domain, protože vyžaduje přístup do režimu BASH DD OS.
Poznámka: Změny provedené v souboru sshd_config nebudou po restartování nebo upgradu uloženy. Tyto změny je nutné znovu použít, dokud nebude vydán nový systém DD OS verze 8.0 nebo 7.10.1.40, což zajišťuje trvalé řešení. Doba, kdy budou tyto verze DD OS integrovány do IDPA, není odhadnutá.
Pro řadič iDRAC:
1. Přihlaste se k rozhraní
příkazového řádku RACADM řadiče iDRAC 2. Pomocí následujícího příkazu zkontrolujte stávající nastavení kryptografických šifer SSH:
get idrac.sshcrypto.ciphers
3. Aktualizujte nastavení kryptografických šifer SSH pomocí následujícího příkazu:
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
4. Znovu ověřte nastavení kryptografických šifer SSH:
get idrac.sshcrypto.ciphers
Zde je příklad očekávaného výstupu výše uvedených příkazů:
racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com [Key=idrac.Embedded.1#SSHCrypto.1] Object value modified successfully racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>
5. Ověřte, zda je protokol SSH zakázán jako klíč hostitele pomocí SSH:
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address> Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
其他信息
Předchozí známý klíč hostitele není platný:
Po zakázání klíče hostitele ssh-rsa již nebude dříve uložený klíč hostitele RSA v souboru known_hosts SSH platný. Může se zobrazit chyba podobná této:
K aktualizaci souboru known_hosts SSH pro konkrétního hostitele lze použít následující příkaz:
Příklad by byl podobný:
Pomocí SSH přejděte do řadiče iDRAC a zobrazí se chyba "No matching cipher found":
Po aktualizaci kryptografických šifer řadiče iDRAC se může při připojení SSH z ACM nebo jiného virtuálního počítače do řadiče iDRAC zobrazit následující chybová zpráva. IP adresa řadiče iDRAC je v tomto příkladu 10.60.9.156:
Tento problém lze vyřešit dvěma způsoby.
Možnost 1:
Přidejte možnost "-c aes128-gcm@openssh.com", když se připojujete k řadiči iDRAC pomocí SSH.
Například:
Možnost 2:
Upravte soubor /etc/ssh/ssh_config tak, aby obsahoval šifry aes128-gcm@openssh.com a aes256-gcm@openssh.com.
1. Přihlaste se k virtuálnímu počítači jako uživatel root. V případě softwaru Avamar a serveru proxy se nejprve přihlaste jako správce a poté přejděte na uživatele root pomocí su.
2. Změňte pracovní adresář na /etc/ssh.
3. Vytvořte záložní kopii existujícího souboru /etc/ssh/ssh_config.
4. Upravte soubor /etc/ssh/ssh_config tak, aby obsahoval šifry aes128-gcm@openssh.com a aes256-gcm@openssh.com.
Z obrázku:
Obrázek 2: Výchozí nastavení šifry v souboru /etc/ssh/ssh_config
Komu:
Obrázek 3: Nové nastavení šifry v /etc/ssh/ssh_config
Po aktualizaci /etc/ssh/ssh_config tak, aby zahrnoval šifry aes128-gcm@openssh.com a aes256-gcm@openssh.com, by měla být vyřešena chyba "nebyla nalezena žádná shodná šifra".
V případě, že se klientovi SSH se systémem Windows zobrazí chyba "nebyla nalezena žádná odpovídající šifra":
Obrázek 4: V klientovi
SSH se systémem Windows se zobrazí chyba "Nebyla nalezena žádná odpovídající šifra" PuTTY verze 0.81 byla testována bez tohoto problému.
Obrázek 5: Nástroj PuTTY 0.81 lze použít pro přístup k řadiči iDRAC ze systému Windows.
Po zakázání klíče hostitele ssh-rsa již nebude dříve uložený klíč hostitele RSA v souboru known_hosts SSH platný. Může se zobrazit chyba podobná této:
idpa-acm:~ # ssh 192.168.100.100 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending RSA key in /root/.ssh/known_hosts:9 You can use following command to remove the offending key: ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts ECDSA host key for 192.168.100.100 has changed and you have requested strict checking. Host key verification failed. idpa-acm:~ #
K aktualizaci souboru known_hosts SSH pro konkrétního hostitele lze použít následující příkaz:
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts
Příklad by byl podobný:
/root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old idpa-acm:~ # ssh 192.168.100.100 The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established. ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Are you sure you want to continue connecting (yes/no)?
Pomocí SSH přejděte do řadiče iDRAC a zobrazí se chyba "No matching cipher found":
Po aktualizaci kryptografických šifer řadiče iDRAC se může při připojení SSH z ACM nebo jiného virtuálního počítače do řadiče iDRAC zobrazit následující chybová zpráva. IP adresa řadiče iDRAC je v tomto příkladu 10.60.9.156:
idpa-acm:~ # ssh 10.60.9.156 Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com idpa-acm:~ #
Tento problém lze vyřešit dvěma způsoby.
Možnost 1:
Přidejte možnost "-c aes128-gcm@openssh.com", když se připojujete k řadiči iDRAC pomocí SSH.
Například:
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156 Password: racadm>>
Možnost 2:
Upravte soubor /etc/ssh/ssh_config tak, aby obsahoval šifry aes128-gcm@openssh.com a aes256-gcm@openssh.com.
1. Přihlaste se k virtuálnímu počítači jako uživatel root. V případě softwaru Avamar a serveru proxy se nejprve přihlaste jako správce a poté přejděte na uživatele root pomocí su.
2. Změňte pracovní adresář na /etc/ssh.
cd /etc/ssh
3. Vytvořte záložní kopii existujícího souboru /etc/ssh/ssh_config.
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup
4. Upravte soubor /etc/ssh/ssh_config tak, aby obsahoval šifry aes128-gcm@openssh.com a aes256-gcm@openssh.com.
Z obrázku:
Obrázek 2: Výchozí nastavení šifry v souboru /etc/ssh/ssh_config
Komu:
Obrázek 3: Nové nastavení šifry v /etc/ssh/ssh_config
Po aktualizaci /etc/ssh/ssh_config tak, aby zahrnoval šifry aes128-gcm@openssh.com a aes256-gcm@openssh.com, by měla být vyřešena chyba "nebyla nalezena žádná shodná šifra".
V případě, že se klientovi SSH se systémem Windows zobrazí chyba "nebyla nalezena žádná odpovídající šifra":
Obrázek 4: V klientovi
SSH se systémem Windows se zobrazí chyba "Nebyla nalezena žádná odpovídající šifra" PuTTY verze 0.81 byla testována bez tohoto problému.
Obrázek 5: Nástroj PuTTY 0.81 lze použít pro přístup k řadiči iDRAC ze systému Windows.
法律免责声明
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000224873
文章类型: Security KB
上次修改时间: 18 8月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。