PowerProtect DP-seriens enheder og IDPA rapporterer SHA1 forældet indstilling for SSH (QID 38909)
摘要: Sikkerhedsscannere rapporterer forældede SSH-kryptografiske indstillinger QID 38909 til enheder i PowerProtect Data Protection-serien eller IDPA (Integration Data Protection Appliance). ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
安全性文章类型
Security KB
CVE 标识符
Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909
问题摘要
Den ssh-rsa-krypteringsalgoritme , der bruges i Secure Shell (SSH) til godkendelse, er blevet erklæret som forældet af OpenSSH. Udfasningen af ssh-rsa stammer primært fra bekymringer om dens sikkerhed. Efterhånden som computerkraften er steget, er det blevet mere muligt for angribere at knække RSA-nøgler, især dem, der genereres med kortere nøglelængder. Dette gør det mindre pålideligt til sikring af SSH-forbindelser mod moderne trusler.
Bemærk: Denne artikel omhandler kun PowerProtect-enheder i databeskyttelsesserien eller IDPA version 2.7.6. For tidligere versioner af IDPA anbefales opgradering til version 2.7.6.
På IDPA version 2.7.6 har følgende komponenter som standard ssh-rsa-krypteringsalgoritmen aktiveret i SSH:
- ACM (Appliance Configuration Manager)
- Beskyttelsessoftware (Avamar)
- Proxy for virtuel maskine (VM) (Avamar Proxy)
- Beskyttelseslager (Data Domain)
- Rapportering og analyse (DPA App og Datastore)
- Søg
- Integrated Dell Remote Access Controller (iDRAC)
Brug følgende kommando til at kontrollere, om systemet er berørt af ssh-rsa-sårbarheden:
ssh -o "HostKeyAlgorithms ssh-rsa" localhosteller systemets IP-adresse, hvis fjernverifikation er påkrævet:
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>
Hvis systemet er sårbart over for ssh-rsa, reagerer det med en RSA-nøgle. Her er et eksempel på output:
The authenticity of host 'localhost (127.0.0.1)' can't be established. RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g. Are you sure you want to continue connecting (yes/no)?
Hvis systemet deaktiverede ssh-rsa, ville forhandlingen mislykkes og kunne ikke etablere kommunikation. Her er et eksempel på output:
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
建议
Følgende løsning deaktiverer ssh-rsa-værtsnøglen for IDPA-relaterede komponenter.
ACM, Avamar, Avamar Proxy, DPA og Søg:
1. Log på VM'en som rod. For Avamar og Avamar Proxy skal du først logge ind som admin og derefter su til rod.
2. Skift arbejdsmappen til /etc/ssh
3. Lav en sikkerhedskopi af den eksisterende /etc/ssh/sshd_config
4. Rediger /etc/ssh/sshd_config, og tillad kun "HostKey /etc/ssh/ssh_host_ecdsa_key" og "HostKey /etc/ssh/ssh_host_ed25519_key" i konfigurationsfilen for alle HostKey-indstillingerne:
Figur 1: Et eksempel, der kun viser "HostKey /etc/ssh/ssh_host_ecdsa_key" og "HostKey /etc/ssh/ssh_host_ed25519_key", er aktive.
5. Test filsyntaksen /etc/ssh/sshd_config, og nedenstående kommando skal udskrive "0". Hvis ikke, skal du rette eventuelle syntaksfejl i filen, før du fortsætter:
6. Genstart sshd-processen:
7. Hvis værtsnøglen ssh-rsa er deaktiveret, svarer meddelelsen "ingen matchende værtsnøgletype fundet", når ssh-rsa bruges som værtsnøgle:
For Data Domain:
For iDRAC:
1. Log på iDRAC RACADM-kommandolinjegrænseflade
2. Gennemgå den eksisterende indstilling for SSH-kryptocifre med følgende kommando:
3. Opdater indstillingen for SSH-kryptocifre med følgende kommando:
4. Bekræft indstillingen for SSH-kryptocifre igen:
Her er et eksempel på det forventede output af ovenstående kommandoer:
5. Kontrollér, at SSH deaktiverer ssh-rsa som værtsnøgle:
ACM, Avamar, Avamar Proxy, DPA og Søg:
1. Log på VM'en som rod. For Avamar og Avamar Proxy skal du først logge ind som admin og derefter su til rod.
2. Skift arbejdsmappen til /etc/ssh
cd /etc/ssh
3. Lav en sikkerhedskopi af den eksisterende /etc/ssh/sshd_config
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
4. Rediger /etc/ssh/sshd_config, og tillad kun "HostKey /etc/ssh/ssh_host_ecdsa_key" og "HostKey /etc/ssh/ssh_host_ed25519_key" i konfigurationsfilen for alle HostKey-indstillingerne:
Bemærk: Linjen starter med et hashtag (#), der ikke træder i kraft, og systemet betragter det kun som kommentarer.
Figur 1: Et eksempel, der kun viser "HostKey /etc/ssh/ssh_host_ecdsa_key" og "HostKey /etc/ssh/ssh_host_ed25519_key", er aktive.
5. Test filsyntaksen /etc/ssh/sshd_config, og nedenstående kommando skal udskrive "0". Hvis ikke, skal du rette eventuelle syntaksfejl i filen, før du fortsætter:
sshd -t |echo $? 0
6. Genstart sshd-processen:
systemctl restart sshd
7. Hvis værtsnøglen ssh-rsa er deaktiveret, svarer meddelelsen "ingen matchende værtsnøgletype fundet", når ssh-rsa bruges som værtsnøgle:
ssh -o "HostKeyAlgorithms ssh-rsa" localhost Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
For Data Domain:
Bemærk: Løsningen kræver IDPA- eller Data Domain-understøttelse, fordi den kræver adgang til DD OS BASH-tilstanden.
Bemærk: Ændringer af sshd_config-filen gemmes ikke efter en genstart eller opgradering. Disse ændringer skal anvendes igen, indtil de nye DD OS-versioner 8.0 eller 7.10.1.40 frigives, hvilket giver en permanent opløsning. Der er ingen estimeret tid for, hvornår disse DD OS-versioner integreres i IDPA.
For iDRAC:
1. Log på iDRAC RACADM-kommandolinjegrænseflade
2. Gennemgå den eksisterende indstilling for SSH-kryptocifre med følgende kommando:
get idrac.sshcrypto.ciphers
3. Opdater indstillingen for SSH-kryptocifre med følgende kommando:
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
4. Bekræft indstillingen for SSH-kryptocifre igen:
get idrac.sshcrypto.ciphers
Her er et eksempel på det forventede output af ovenstående kommandoer:
racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com [Key=idrac.Embedded.1#SSHCrypto.1] Object value modified successfully racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>
5. Kontrollér, at SSH deaktiverer ssh-rsa som værtsnøgle:
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address> Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
其他信息
Den tidligere kendte værtsnøgle er ikke gyldig:
Når du har deaktiveret ssh-rsa-værtsnøglen, er den tidligere gemte RSA-værtsnøgle i SSH-known_hosts filen ikke længere gyldig. Der kan opstå en fejl på samme måde:
For at opdatere SSH known_hosts-filen for en bestemt vært kan følgende kommando bruges:
Et eksempel ville være:
SSH til iDRAC med fejlen "ingen matchende kryptering fundet":
Efter opdatering af iDRAC-kryptocifrene kan SSH fra ACM eller anden VM til iDRAC modtage følgende fejlmeddelelse. iDRAC IP-adressen er 10.60.9.156 i dette eksempel:
Der er to muligheder for at løse dette problem.
Mulighed 1:
Tilføj indstillingen "-c aes128-gcm@openssh.com", når SSH er til iDRAC.
F.eks.:
Mulighed 2:
Rediger / etc / ssh / ssh_config for at inkludere cifre aes128-gcm@openssh.com og aes256-gcm@openssh.com.
1. Log på VM'en som rod. For Avamar og Avamar Proxy skal du først logge ind som admin og derefter su til rod.
2. Skift arbejdsmappen til /etc/ssh.
3. Lav en sikkerhedskopi af den eksisterende /etc/ssh/ssh_config.
4. Rediger /etc/ssh/ssh_config for at inkludere cifrene aes128-gcm@openssh.com og aes256-gcm@openssh.com.
Fra:
Figur 2: Standardchifferindstillingen i /etc/ssh/ssh_config
Til:
Figur 3: Ny chifferindstilling i /etc/ssh/ssh_config
Efter opdatering af /etc/ssh/ssh_config til at inkludere cifre aes128-gcm@openssh.com og aes256-gcm@openssh.com, bør "ingen matchende chiffer fundet" løses.
Hvis en Windows-baseret SSH-klient modtager fejlen
"ingen matchende kryptering fundet": Figur 4: Fejlen "ingen matchende chiffer fundet" modtaget i en Windows-baseret SSH-klient
PuTTY version 0.81 er blevet testet uden problemer.
Figur 5: PuTTY 0.81 kan bruges til at få adgang til iDRAC fra Windows.
Når du har deaktiveret ssh-rsa-værtsnøglen, er den tidligere gemte RSA-værtsnøgle i SSH-known_hosts filen ikke længere gyldig. Der kan opstå en fejl på samme måde:
idpa-acm:~ # ssh 192.168.100.100 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending RSA key in /root/.ssh/known_hosts:9 You can use following command to remove the offending key: ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts ECDSA host key for 192.168.100.100 has changed and you have requested strict checking. Host key verification failed. idpa-acm:~ #
For at opdatere SSH known_hosts-filen for en bestemt vært kan følgende kommando bruges:
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts
Et eksempel ville være:
/root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old idpa-acm:~ # ssh 192.168.100.100 The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established. ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Are you sure you want to continue connecting (yes/no)?
SSH til iDRAC med fejlen "ingen matchende kryptering fundet":
Efter opdatering af iDRAC-kryptocifrene kan SSH fra ACM eller anden VM til iDRAC modtage følgende fejlmeddelelse. iDRAC IP-adressen er 10.60.9.156 i dette eksempel:
idpa-acm:~ # ssh 10.60.9.156 Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com idpa-acm:~ #
Der er to muligheder for at løse dette problem.
Mulighed 1:
Tilføj indstillingen "-c aes128-gcm@openssh.com", når SSH er til iDRAC.
F.eks.:
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156 Password: racadm>>
Mulighed 2:
Rediger / etc / ssh / ssh_config for at inkludere cifre aes128-gcm@openssh.com og aes256-gcm@openssh.com.
1. Log på VM'en som rod. For Avamar og Avamar Proxy skal du først logge ind som admin og derefter su til rod.
2. Skift arbejdsmappen til /etc/ssh.
cd /etc/ssh
3. Lav en sikkerhedskopi af den eksisterende /etc/ssh/ssh_config.
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup
4. Rediger /etc/ssh/ssh_config for at inkludere cifrene aes128-gcm@openssh.com og aes256-gcm@openssh.com.
Fra:
Figur 2: Standardchifferindstillingen i /etc/ssh/ssh_config
Til:
Figur 3: Ny chifferindstilling i /etc/ssh/ssh_config
Efter opdatering af /etc/ssh/ssh_config til at inkludere cifre aes128-gcm@openssh.com og aes256-gcm@openssh.com, bør "ingen matchende chiffer fundet" løses.
Hvis en Windows-baseret SSH-klient modtager fejlen
"ingen matchende kryptering fundet": Figur 4: Fejlen "ingen matchende chiffer fundet" modtaget i en Windows-baseret SSH-klient
PuTTY version 0.81 er blevet testet uden problemer.
Figur 5: PuTTY 0.81 kan bruges til at få adgang til iDRAC fra Windows.
法律免责声明
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000224873
文章类型: Security KB
上次修改时间: 18 8月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。