Los dispositivos PowerProtect serie DP e IDPA informan la configuración obsoleta de SHA1 para SSH (QID 38909)
摘要: Los escáneres de seguridad informan una configuración criptográfica SSH obsoleta QID 38909 para los dispositivos de la serie PowerProtect Data Protection o Integration Data Protection Appliance (IDPA). ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
安全性文章类型
Security KB
CVE 标识符
Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909
问题摘要
OpenSSH declaró que el algoritmo de cifrado ssh-rsa utilizado en Secure Shell (SSH) para la autenticación quedó obsoleto. El desuso de ssh-rsa se debe principalmente a las preocupaciones sobre su seguridad. A medida que la potencia de cálculo ha aumentado, se ha vuelto más factible para los atacantes descifrar las claves RSA, especialmente aquellas generadas con longitudes de clave más cortas. Esto hace que sea menos confiable para proteger las conexiones SSH contra las amenazas modernas.
Nota: Este artículo solo está dirigido a dispositivos PowerProtect serie de protección de datos o IDPA versión 2.7.6. Para versiones anteriores de IDPA, se recomienda actualizar a la versión 2.7.6.
En IDPA versión 2.7.6, los siguientes componentes tienen el algoritmo de cifrado ssh-rsa habilitado en SSH de manera predeterminada:
- Appliance Configuration Manager (ACM)
- Software de protección (Avamar)
- Proxy de máquina virtual (VM) (Avamar Proxy)
- Almacenamiento con protección (Data Domain)
- Generación de informes y análisis (aplicación de DPA y almacén de datos)
- Búsqueda
- Integrated Dell Remote Access Controller (iDRAC)
Utilice el siguiente comando para verificar si el sistema se ve afectado por la vulnerabilidad ssh-rsa:
ssh -o "HostKeyAlgorithms ssh-rsa" localhosto la dirección IP del sistema si se requiere una verificación remota:
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>
Si el sistema es vulnerable a ssh-rsa, responde con una clave RSA. A continuación, se muestra un ejemplo de resultado:
The authenticity of host 'localhost (127.0.0.1)' can't be established. RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g. Are you sure you want to continue connecting (yes/no)?
Si el sistema deshabilitaba ssh-rsa, la negociación fallaba y no se podía establecer la comunicación. A continuación, se muestra un ejemplo de resultado:
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
建议
La siguiente solución alternativa deshabilita la clave de host ssh-rsa para los componentes relacionados con IDPA.
En ACM, Avamar, Avamar Proxy, DPA y Search:
1. Inicie sesión en la VM como raíz. Para Avamar y el proxy de Avamar, primero inicie sesión como administrador y, a continuación, use su para root.
2. Cambie el directorio de trabajo a /etcétera/ssh
3. Haga una copia de respaldo del archivo /etcetera/ssh/sshd_config existente
4. Modifique /etcetera/ssh/sshd_config y permita solo "HostKey /etcetera/ssh/ssh_host_ecdsa_key" y "HostKey /etcetera/ssh/ssh_host_ed25519_key" en el archivo de configuración para todos los ajustes de HostKey:
Figura 1: Ejemplo en el que se muestra que solo "HostKey /etcetera/ssh/ssh_host_ecdsa_key" y "HostKey /etcetera/ssh/ssh_host_ed25519_key" están activos.
5. Pruebe la sintaxis del archivo /etcetera/ssh/sshd_config. El siguiente comando debe imprimir "0". Si no es así, corrija los errores de sintaxis en el archivo antes de continuar:
6. Reinicie el proceso sshd:
7. Si la clave de host ssh-rsa está deshabilitada, un mensaje de "no se encontró ningún tipo de clave de host coincidente" responde cuando se utiliza ssh-rsa como clave de host:
Para Data Domain:
Para iDRAC:
1. Inicie sesión en la interfaz
de línea de comandos de RACADM de iDRAC 2. Revise la configuración de cifrado criptográfico SSH existente con el siguiente comando:
3. Actualice la configuración de cifrados criptográficos SSH con el siguiente comando:
4. Vuelva a verificar la configuración de cifrados criptográficos de SSH:
A continuación, se muestra un ejemplo del resultado esperado de los comandos anteriores:
5. Verifique que SSH deshabilite ssh-rsa como la clave de host:
En ACM, Avamar, Avamar Proxy, DPA y Search:
1. Inicie sesión en la VM como raíz. Para Avamar y el proxy de Avamar, primero inicie sesión como administrador y, a continuación, use su para root.
2. Cambie el directorio de trabajo a /etcétera/ssh
cd /etc/ssh
3. Haga una copia de respaldo del archivo /etcetera/ssh/sshd_config existente
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
4. Modifique /etcetera/ssh/sshd_config y permita solo "HostKey /etcetera/ssh/ssh_host_ecdsa_key" y "HostKey /etcetera/ssh/ssh_host_ed25519_key" en el archivo de configuración para todos los ajustes de HostKey:
Nota: La línea comienza con un hashtag (#) que no surte efecto y el sistema lo considera solo como comentarios.
Figura 1: Ejemplo en el que se muestra que solo "HostKey /etcetera/ssh/ssh_host_ecdsa_key" y "HostKey /etcetera/ssh/ssh_host_ed25519_key" están activos.
5. Pruebe la sintaxis del archivo /etcetera/ssh/sshd_config. El siguiente comando debe imprimir "0". Si no es así, corrija los errores de sintaxis en el archivo antes de continuar:
sshd -t |echo $? 0
6. Reinicie el proceso sshd:
systemctl restart sshd
7. Si la clave de host ssh-rsa está deshabilitada, un mensaje de "no se encontró ningún tipo de clave de host coincidente" responde cuando se utiliza ssh-rsa como clave de host:
ssh -o "HostKeyAlgorithms ssh-rsa" localhost Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
Para Data Domain:
Nota: La solución alternativa requiere compatibilidad con IDPA o Data Domain, ya que requiere acceder al modo bash de DD OS.
Nota: Las modificaciones realizadas en el archivo sshd_config no se guardarán después de un reinicio o una actualización. Estos cambios se deben volver a aplicar hasta que se lancen las nuevas versiones 8.0 o 7.10.1.40 de DD OS, lo que proporciona una resolución permanente. No hay una fecha estimada para cuando estas versiones de DD OS se integren en IDPA.
Para iDRAC:
1. Inicie sesión en la interfaz
de línea de comandos de RACADM de iDRAC 2. Revise la configuración de cifrado criptográfico SSH existente con el siguiente comando:
get idrac.sshcrypto.ciphers
3. Actualice la configuración de cifrados criptográficos SSH con el siguiente comando:
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
4. Vuelva a verificar la configuración de cifrados criptográficos de SSH:
get idrac.sshcrypto.ciphers
A continuación, se muestra un ejemplo del resultado esperado de los comandos anteriores:
racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com [Key=idrac.Embedded.1#SSHCrypto.1] Object value modified successfully racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>
5. Verifique que SSH deshabilite ssh-rsa como la clave de host:
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address> Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
其他信息
La clave de host conocida anterior no es válida:
Después de deshabilitar la clave de host ssh-rsa, la clave de host RSA guardada anteriormente en el archivo de known_hosts SSH ya no es válida. Podría aparecer un error similar al siguiente:
Para actualizar el archivo de known_hosts SSH para un host específico, se puede utilizar el siguiente comando:
Un ejemplo sería similar a:
Acceda mediante SSH a iDRAC con un error "No matching cipher found":
Después de actualizar los cifrados criptográficos de iDRAC, SSH de ACM u otra VM a iDRAC podría recibir el siguiente mensaje de error. La dirección IP de iDRAC es 10.60.9.156 en este ejemplo:
Hay dos opciones para resolver este problema.
Opción 1:
agregue la opción "-c aes128-gcm@openssh.com" cuando acceda mediante SSH a iDRAC.
Por ejemplo:
Opción 2:
modifique /etcetera/ssh/ssh_config para incluir los cifrados aes128-gcm@openssh.com y aes256-gcm@openssh.com.
1. Inicie sesión en la VM como raíz. Para Avamar y el proxy de Avamar, primero inicie sesión como administrador y, a continuación, use su para root.
2. Cambie el directorio de trabajo a /etcétera/ssh.
3. Haga una copia de respaldo del archivo /etcetera/ssh/ssh_config existente.
4. Modifique /etcetera/ssh/ssh_config para incluir cifrados aes128-gcm@openssh.com y aes256-gcm@openssh.com.
De:
Figura 2: La configuración de cifrado predeterminada en /etcetera/ssh/ssh_config
a:
Figura 3: Nueva configuración de cifrado en /etcetera/ssh/ssh_config
Después de actualizar /etcetera/ssh/ssh_config para incluir los cifrados aes128-gcm@openssh.com y aes256-gcm@openssh.com, se debe resolver el error "no se encontró cifrado coincidente".
En caso de que un cliente SSH basado en Windows reciba el error "no se encontró ningún cifrado coincidente":
Figura 4: Se recibió el error "No matching cipher" en un cliente
SSH basado en Windows La versión 0.81 de PuTTY se probó sin el problema.
Figura 5: PuTTY 0.81 se puede utilizar para acceder a iDRAC desde Windows.
Después de deshabilitar la clave de host ssh-rsa, la clave de host RSA guardada anteriormente en el archivo de known_hosts SSH ya no es válida. Podría aparecer un error similar al siguiente:
idpa-acm:~ # ssh 192.168.100.100 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending RSA key in /root/.ssh/known_hosts:9 You can use following command to remove the offending key: ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts ECDSA host key for 192.168.100.100 has changed and you have requested strict checking. Host key verification failed. idpa-acm:~ #
Para actualizar el archivo de known_hosts SSH para un host específico, se puede utilizar el siguiente comando:
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts
Un ejemplo sería similar a:
/root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old idpa-acm:~ # ssh 192.168.100.100 The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established. ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Are you sure you want to continue connecting (yes/no)?
Acceda mediante SSH a iDRAC con un error "No matching cipher found":
Después de actualizar los cifrados criptográficos de iDRAC, SSH de ACM u otra VM a iDRAC podría recibir el siguiente mensaje de error. La dirección IP de iDRAC es 10.60.9.156 en este ejemplo:
idpa-acm:~ # ssh 10.60.9.156 Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com idpa-acm:~ #
Hay dos opciones para resolver este problema.
Opción 1:
agregue la opción "-c aes128-gcm@openssh.com" cuando acceda mediante SSH a iDRAC.
Por ejemplo:
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156 Password: racadm>>
Opción 2:
modifique /etcetera/ssh/ssh_config para incluir los cifrados aes128-gcm@openssh.com y aes256-gcm@openssh.com.
1. Inicie sesión en la VM como raíz. Para Avamar y el proxy de Avamar, primero inicie sesión como administrador y, a continuación, use su para root.
2. Cambie el directorio de trabajo a /etcétera/ssh.
cd /etc/ssh
3. Haga una copia de respaldo del archivo /etcetera/ssh/ssh_config existente.
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup
4. Modifique /etcetera/ssh/ssh_config para incluir cifrados aes128-gcm@openssh.com y aes256-gcm@openssh.com.
De:
Figura 2: La configuración de cifrado predeterminada en /etcetera/ssh/ssh_config
a:
Figura 3: Nueva configuración de cifrado en /etcetera/ssh/ssh_config
Después de actualizar /etcetera/ssh/ssh_config para incluir los cifrados aes128-gcm@openssh.com y aes256-gcm@openssh.com, se debe resolver el error "no se encontró cifrado coincidente".
En caso de que un cliente SSH basado en Windows reciba el error "no se encontró ningún cifrado coincidente":
Figura 4: Se recibió el error "No matching cipher" en un cliente
SSH basado en Windows La versión 0.81 de PuTTY se probó sin el problema.
Figura 5: PuTTY 0.81 se puede utilizar para acceder a iDRAC desde Windows.
法律免责声明
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000224873
文章类型: Security KB
上次修改时间: 18 8月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。