PowerProtect DP Series 어플라이언스 및 IDPA에서 SSH에 대해 SHA1 설정이 더 이상 사용되지 않음을 보고합니다(QID 38909).

摘要: 보안 스캐너에서 PowerProtect Data Protection Series 어플라이언스 또는 IDPA(Integration Data Protection Appliance)에 대한 사용되지 않는 SSH 암호화 설정 QID 38909를 보고합니다.

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

安全性文章类型

Security KB

CVE 标识符

Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909

问题摘要

인증을 위해 SSH(Secure Shell)에서 사용되는 ssh-rsa 암호화 알고리즘이 OpenSSH에서 더 이상 사용되지 않는 것으로 선언되었습니다. ssh-rsa의 사용 중단은 주로 보안에 대한 우려에서 비롯됩니다. 컴퓨팅 성능이 향상됨에 따라 공격자가 RSA 키, 특히 더 짧은 키 길이로 생성된 키를 해독할 가능성이 높아졌습니다. 이로 인해 최신 위협으로부터 SSH 연결을 보호하는 데 안정성이 떨어집니다.
 

참고: 이 문서는 PowerProtect Data Protection Series 어플라이언스 또는 IDPA 버전 2.7.6만 대상으로 합니다. 이전 버전의 IDPA에서는 버전 2.7.6으로 업그레이드하는 것이 좋습니다. 

IDPA 버전 2.7.6에서 다음 구성 요소는 SSH에서 기본적으로 ssh-rsa 암호화 알고리듬이 활성화되어 있습니다.
  • ACM(Appliance Configuration Manager)
  • Protection Software(Avamar)
  • VM(Virtual Machine) 프록시(Avamar 프록시)
  • 보호 스토리지(Data Domain)
  • 보고 및 분석(DPA 앱 및 데이터 저장소)
  • 검색
  • iDRAC(Integrated Dell Remote Access Controller)
Avamar 및 Avamar 프록시의 경우 영구 해결 방법은 다음 OS 보안 롤업 버전 2024-R2 이상에 있습니다. 

다음 명령을 사용하여 시스템이 ssh-rsa 취약성의 영향을 받는지 확인합니다. 
ssh -o "HostKeyAlgorithms ssh-rsa" localhost
또는 원격 확인이 필요한 경우 시스템 IP 주소: 
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>

시스템이 ssh-rsa에 취약한 경우 RSA 키로 응답합니다. 다음은 예제 출력입니다. 
The authenticity of host 'localhost (127.0.0.1)' can't be established.
RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g.
Are you sure you want to continue connecting (yes/no)?

시스템이 ssh-rsa를 비활성화하면 협상이 실패하고 통신을 설정할 수 없습니다. 다음은 예제 출력입니다. 
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519

建议

다음 해결 방법은 IDPA 관련 구성 요소에 대해 ssh-rsa 호스트 키를 비활성화합니다. 

ACM, Avamar, Avamar Proxy, DPA 및 Search의 경우:

1. VM에 루트로 로그인합니다. Avamar 및 Avamar 프록시의 경우 먼저 admin으로 로그인한 다음 su를 루트로 로그인합니다.

2. 작업 디렉토리를 /etc/ssh로 변경합니다. 
cd /etc/ssh

3. 기존 /etc/ssh/sshd_config의 백업 복사본을 만듭니다. 
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup

4. /etc/ssh/sshd_config를 수정하고 모든 HostKey 설정에 대해 구성 파일에서 "HostKey /etc/ssh/ssh_host_ecdsa_key" 및 "HostKey /etc/ssh/ssh_host_ed25519_key"만 허용합니다.
 
참고: 줄은 적용되지 않는 해시태그(#)로 시작하고 시스템에서는 이를 주석으로만 간주합니다. 

모든 HostKey 설정에 대한 구성 파일
그림 1: 예를 들어 "HostKey /etc/ssh/ssh_host_ecdsa_key" 및 "HostKey /etc/ssh/ssh_host_ed25519_key"만 활성 상태입니다. 

5. /etc/ssh/sshd_config 파일 구문을 테스트합니다. 아래 명령은 "0"을 인쇄해야 합니다. 그렇지 않은 경우 계속하기 전에 파일의 구문 오류를 수정합니다. 
sshd -t |echo $?
0

6. sshd 프로세스를 다시 시작합니다. 
systemctl restart sshd

7. 호스트 키 ssh-rsa가 비활성화된 경우 ssh-rsa를 호스트 키로 사용할 때 "일치하는 호스트 키 유형을 찾을 수 없음" 메시지가 응답합니다. 
ssh -o "HostKeyAlgorithms ssh-rsa" localhost
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519


Data Domain의 경우: 
 
참고: 해결 방법에는 DD OS BASH 모드에 액세스해야 하기 때문에 IDPA 또는 Data Domain 지원이 필요합니다.
 
참고: sshd_config 파일에 대한 수정 사항은 재부팅 또는 업그레이드 후에 저장되지 않습니다. 이러한 변경 사항은 영구적인 해결 방법을 제공하는 새 DD OS 버전 8.0 또는 7.10.1.40이 릴리스될 때까지 다시 적용해야 합니다. 이러한 DD OS 버전이 IDPA에 통합되는 예상 시간은 없습니다. 


iDRAC의 경우:

1. iDRAC RACADM 명령줄 인터페이스

2에 로그인합니다. 다음 명령을 사용하여 기존 SSH 암호화 암호화 설정을 검토합니다. 
get idrac.sshcrypto.ciphers

3. 다음 명령을 사용하여 SSH 암호화 암호 설정을 업데이트합니다. 
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com

4. SSH 암호화 암호 설정을 다시 확인합니다. 
get idrac.sshcrypto.ciphers

다음은 위 명령의 예상 출력의 예입니다. 
racadm>>get idrac.sshcrypto.ciphers
[Key=idrac.Embedded.1#SSHCrypto.1]
Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com

racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
[Key=idrac.Embedded.1#SSHCrypto.1]
Object value modified successfully

racadm>>get idrac.sshcrypto.ciphers
[Key=idrac.Embedded.1#SSHCrypto.1]
Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com
racadm>>

5. SSH에서 ssh-rsa를 호스트 키로 비활성화했는지 확인합니다. 
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address>
Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com

其他信息

이전에 알려진 호스트 키가 잘못되었습니다.

ssh-rsa 호스트 키를 비활성화한 후에는 이전에 SSH known_hosts 파일에 저장된 RSA 호스트 키가 더 이상 유효하지 않습니다. 다음과 유사한 오류가 표시될 수 있습니다. 
idpa-acm:~ # ssh 192.168.100.100
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending RSA key in /root/.ssh/known_hosts:9
You can use following command to remove the offending key:
ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts
ECDSA host key for 192.168.100.100 has changed and you have requested strict checking.
Host key verification failed.
idpa-acm:~ #

특정 호스트의 SSH known_hosts 파일을 업데이트하려면 다음 명령을 사용할 수 있습니다. 
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts

예를 들면 다음과 유사합니다. 
/root/.ssh/known_hosts updated.
Original contents retained as /root/.ssh/known_hosts.old
idpa-acm:~ # ssh 192.168.100.100
The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established.
ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo.
Are you sure you want to continue connecting (yes/no)?

SSH를 통해 "no matching cipher found" 오류

와 함께 iDRAC에 연결:iDRAC 암호화 암호를 업데이트한 후 ACM 또는 다른 VM에서 iDRAC로의 SSH는 다음 오류 메시지를 수신할 수 있습니다. 이 예에서 iDRAC IP 주소는 10.60.9.156입니다. 
idpa-acm:~ # ssh 10.60.9.156
Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
idpa-acm:~ #

이 문제를 해결하기 위한 두 가지 옵션이 있습니다.

옵션 1:
iDRAC에 SSH를 연결할 때 "-c aes128-gcm@openssh.com" 옵션을 추가합니다. 

예: 
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156
Password:
racadm>>

옵션 2:
암호 aes128-gcm@openssh.com 및 aes256-gcm@openssh.com 를 포함하도록 /etc/ssh/ssh_config를 수정합니다.

1. VM에 루트로 로그인합니다. Avamar 및 Avamar 프록시의 경우 먼저 admin으로 로그인한 다음 su를 루트로 로그인합니다.

2. 작업 디렉토리를 /etc/ssh로 변경합니다. 
cd /etc/ssh

3. 기존 /etc/ssh/ssh_config의 백업 복사본을 만듭니다. 
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup

4. 암호 aes128-gcm@openssh.com 및 aes256-gcm@openssh.com 를 포함하도록 /etc/ssh/ssh_config를 수정합니다.

보낸 사람 :
/etc/ssh/ssh_config의 기본 암호 설정
그림 2 : /etc/ssh/ssh_config

의 기본 암호 설정:
/etc/ssh/ssh_config의 새 암호 설정
그림 3: /etc/ssh/ssh_config

의 새로운 암호 설정 암호 aes128-gcm@openssh.com 및 aes256-gcm@openssh.com 를 포함하도록 /etc/ssh/ssh_config를 업데이트한 후 "일치하는 암호를 찾을 수 없음"을 해결해야 합니다. 

Windows 기반 SSH 클라이언트에서 "no matching cipher found" 오류가 발생하는 경우:

Windows 기반 SSH 클라이언트에서 수신된
그림 4: Windows 기반 SSH 클라이언트
에서 수신된 "no matched cipher found" 오류 PuTTY 버전 0.81은 문제 없이 테스트되었습니다.
PuTTY 0.81을 사용하여 Windows에서 iDRAC에 액세스할 수 있습니다.

그림 5 : PuTTY 0.81을 사용하여 Windows에서 iDRAC에 액세스할 수 있습니다.
 
 

法律免责声明

受影响的产品

PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family , Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
文章属性
文章编号: 000224873
文章类型: Security KB
上次修改时间: 18 8月 2025
版本:  4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。