PowerProtect DP -sarjan laitteet ja IDPA-raportti SHA1 vanhentunut SSH-asetus (QID 38909)
摘要: Tietoturvaskannerien raportti Vanhentuneet SSH-salausasetukset QID 38909 PowerProtect Data Protection -sarjan laitteille tai Integration Data Protection Appliancelle (IDPA).
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
安全性文章类型
Security KB
CVE 标识符
Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909
问题摘要
OpenSSH on ilmoittanut Secure Shellissä (SSH) todennusta varten käytetyn ssh-rsa-salausalgoritmin vanhentuneeksi. SSH-RSA: n vanhentuminen johtuu ensisijaisesti huolesta sen turvallisuudesta. Laskentatehon kasvaessa hyökkääjien on tullut mahdollisemmaksi murtaa RSA-avaimet, erityisesti ne, jotka on luotu lyhyemmillä avainpituuksilla. Tämä tekee siitä vähemmän luotettavan SSH-yhteyksien suojaamiseen nykyaikaisia uhkia vastaan.
Huomautus: Tämä artikkeli koskee vain PowerProtect Data Protection -sarjan laitteita tai IDPA-versiota 2.7.6. Aiemmissa IDPA-versioissa suositellaan päivitystä versioon 2.7.6.
IDPA-versiossa 2.7.6 ssh-rsa-salausalgoritmi on oletusarvoisesti käytössä SSH:ssa seuraavissa komponenteissa:
- Laitteen määritystenhallintasovellus (Appliance Configuration Manager, ACM)
- Suojausohjelmisto (Avamar)
- Virtuaalikoneen (VM) välityspalvelin (Avamar-välityspalvelin)
- Protection Storage (Data Domain)
- Raportointi ja analytiikka (DPA-sovellus ja tietosäilö)
- Search
- iDRAC (integrated Dell Remote Access Controller)
Tarkista seuraavalla komennolla, vaikuttaako ssh-rsa-haavoittuvuus järjestelmään:
ssh -o "HostKeyAlgorithms ssh-rsa" localhosttai järjestelmän IP-osoite, jos etävahvistus vaaditaan:
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>
Jos järjestelmä on altis ssh-rsa:lle, se vastaa RSA-avaimella. Tässä on esimerkkitulos:
The authenticity of host 'localhost (127.0.0.1)' can't be established. RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g. Are you sure you want to continue connecting (yes/no)?
Jos järjestelmä poistaa ssh-RSA:n käytöstä, neuvottelu epäonnistuu eikä yhteyttä pystytä muodostamaan. Tässä on esimerkkitulos:
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
建议
Seuraava kiertotapa poistaa ssh-rsa-isäntäavaimen käytöstä IDPA:han liittyviltä komponenteilta.
ACM, Avamar, Avamar-välityspalvelin, DPA ja haku:
1. Kirjaudu virtuaalikoneeseen root-käyttäjänä. Jos kyseessä on Avamar tai Avamar Proxy, kirjaudu ensin admin-käyttäjänä ja sitten su-käyttäjänä.
2. Vaihda työhakemistoksi /etc/ssh
3. Tee varmuuskopio olemassa olevasta tiedostosta /etc/ssh/sshd_config
4. Muokkaa tiedostoa /etc/ssh/sshd_config ja salli määritystiedostossa vain "HostKey /etc/ssh/ssh_host_ecdsa_key" ja "HostKey /etc/ssh/ssh_host_ed25519_key" kaikille HostKey-asetuksille:
Kuva 1: Esimerkki, jossa näkyvät vain HostKey /etc/ssh/ssh_host_ecdsa_key ja HostKey /etc/ssh/ssh_host_ed25519_key, ovat aktiivisia.
5. Testaa /etc/ssh/sshd_config tiedoston syntaksia. Seuraava komento tulostaa "0". Jos näin ei tapahdu, korjaa tiedostossa mahdollisesti olevat syntaksivirheet ennen kuin jatkat:
6. Käynnistä sshd-prosessi uudelleen:
7. Jos isäntäavain ssh-rsa on poistettu käytöstä, näyttöön tulee viesti "vastaavaa isäntäavaintyyppiä ei löytynyt", kun isäntäavaimena käytetään ssh-rsa-tiedostoa:
For Data Domain:
iDRAC:
1. Kirjaudu iDRAC RACADM -komentorivikäyttöliittymään
2. Tarkista nykyinen SSH-salausasetus seuraavalla komennolla:
3. Päivitä SSH-salausasetus seuraavalla komennolla:
4. Tarkista SSH-salausasetus uudelleen:
Tässä on esimerkki edellä mainittujen komentojen odotetusta tuloksesta:
5. Varmista, että SSH on poistanut ssh-rsa:n käytöstä isäntäavaimena:
ACM, Avamar, Avamar-välityspalvelin, DPA ja haku:
1. Kirjaudu virtuaalikoneeseen root-käyttäjänä. Jos kyseessä on Avamar tai Avamar Proxy, kirjaudu ensin admin-käyttäjänä ja sitten su-käyttäjänä.
2. Vaihda työhakemistoksi /etc/ssh
cd /etc/ssh
3. Tee varmuuskopio olemassa olevasta tiedostosta /etc/ssh/sshd_config
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
4. Muokkaa tiedostoa /etc/ssh/sshd_config ja salli määritystiedostossa vain "HostKey /etc/ssh/ssh_host_ecdsa_key" ja "HostKey /etc/ssh/ssh_host_ed25519_key" kaikille HostKey-asetuksille:
Huomautus: Rivi alkaa hashtagilla (#), joka ei tule voimaan ja järjestelmä pitää sitä vain kommentteina.
Kuva 1: Esimerkki, jossa näkyvät vain HostKey /etc/ssh/ssh_host_ecdsa_key ja HostKey /etc/ssh/ssh_host_ed25519_key, ovat aktiivisia.
5. Testaa /etc/ssh/sshd_config tiedoston syntaksia. Seuraava komento tulostaa "0". Jos näin ei tapahdu, korjaa tiedostossa mahdollisesti olevat syntaksivirheet ennen kuin jatkat:
sshd -t |echo $? 0
6. Käynnistä sshd-prosessi uudelleen:
systemctl restart sshd
7. Jos isäntäavain ssh-rsa on poistettu käytöstä, näyttöön tulee viesti "vastaavaa isäntäavaintyyppiä ei löytynyt", kun isäntäavaimena käytetään ssh-rsa-tiedostoa:
ssh -o "HostKeyAlgorithms ssh-rsa" localhost Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
For Data Domain:
Huomautus: Kiertotapa edellyttää IDPA- tai Data Domain -tukea, koska se edellyttää DD OS BASH -tilan käyttöä.
Huomautus: sshd_config tiedostoon tehtyjä muutoksia ei tallenneta uudelleenkäynnistyksen tai päivityksen jälkeen. Nämä muutokset on otettava uudelleen käyttöön, kunnes DD-käyttöjärjestelmän uudet versiot 8.0 tai 7.10.1.40 julkaistaan, mikä tarjoaa pysyvän ratkaisun. Ei ole arvioitua aikaa, milloin nämä DD-käyttöjärjestelmäversiot integroidaan IDPA:han.
iDRAC:
1. Kirjaudu iDRAC RACADM -komentorivikäyttöliittymään
2. Tarkista nykyinen SSH-salausasetus seuraavalla komennolla:
get idrac.sshcrypto.ciphers
3. Päivitä SSH-salausasetus seuraavalla komennolla:
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
4. Tarkista SSH-salausasetus uudelleen:
get idrac.sshcrypto.ciphers
Tässä on esimerkki edellä mainittujen komentojen odotetusta tuloksesta:
racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com [Key=idrac.Embedded.1#SSHCrypto.1] Object value modified successfully racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>
5. Varmista, että SSH on poistanut ssh-rsa:n käytöstä isäntäavaimena:
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address> Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
其他信息
Aiempi tunnettu isäntäavain ei kelpaa:
Kun ssh-rsa-isäntäavain on poistettu käytöstä, aiemmin tallennettu RSA-isäntäavain SSH-known_hosts tiedostoon ei ole enää kelvollinen. Näyttöön voi tulla tämänkaltainen virhe:
Voit päivittää SSH-known_hosts tiedoston tietylle isännälle seuraavalla komennolla:
Esimerkki olisi seuraavanlainen:
Muodosta SSH-yhteys iDRACiin ja virheilmoitus "vastaavaa salausta ei löydy" -virhe:
Kun iDRAC-salaustunnukset on päivitetty, SSH ACM:stä tai muusta virtuaalikoneesta iDRACiin saattaa saada seuraavan virheilmoituksen. Seuraavassa esimerkissä iDRAC:n IP-osoite on 10.60.9.156:
Ongelman voi ratkaista kahdella tavalla.
Vaihtoehto 1:
Lisää vaihtoehto "-c aes128-gcm@openssh.com", kun SSH iDRACiin.
Esimerkki:
Vaihtoehto 2:
Muokkaa /etc/ssh/ssh_config sisältämään salaukset aes128-gcm@openssh.com ja aes256-gcm@openssh.com.
1. Kirjaudu virtuaalikoneeseen root-käyttäjänä. Jos kyseessä on Avamar tai Avamar Proxy, kirjaudu ensin admin-käyttäjänä ja sitten su-käyttäjänä.
2. Vaihda työhakemistoksi /etc/ssh.
3. Tee varmuuskopio olemassa olevasta tiedostosta /etc/ssh/ssh_config.
4. Muokkaa tiedostoa /etc/ssh/ssh_config sisältämään salaukset aes128-gcm@openssh.com ja aes256-gcm@openssh.com.
Lähettäjä:
Kuva 2: Oletussalausasetus tiedostossa /etc/ssh/ssh_config
Vastaanottaja:
Kuva 3: Uusi salausasetus tiedostossa /etc/ssh/ssh_config
Kun /etc/ssh/ssh_config on päivitetty sisältämään salaukset aes128-gcm@openssh.com ja aes256-gcm@openssh.com, vastaavaa salausta ei löytynyt -ongelma pitäisi ratkaista.
Jos Windows-pohjainen SSH-asiakas saa virheilmoituksen "vastaavaa salausta ei löytynyt" -virheen:
Kuva 4: Windows-pohjaisessa SSH-asiakasohjelmassa
vastaanotettu "vastaavaa salausta ei löytynyt" -virhe PuTTY-versio 0.81 on testattu ilman ongelmaa.
Kuva 5: PuTTY 0.81:llä voidaan käyttää iDRACia Windowsista.
Kun ssh-rsa-isäntäavain on poistettu käytöstä, aiemmin tallennettu RSA-isäntäavain SSH-known_hosts tiedostoon ei ole enää kelvollinen. Näyttöön voi tulla tämänkaltainen virhe:
idpa-acm:~ # ssh 192.168.100.100 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending RSA key in /root/.ssh/known_hosts:9 You can use following command to remove the offending key: ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts ECDSA host key for 192.168.100.100 has changed and you have requested strict checking. Host key verification failed. idpa-acm:~ #
Voit päivittää SSH-known_hosts tiedoston tietylle isännälle seuraavalla komennolla:
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts
Esimerkki olisi seuraavanlainen:
/root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old idpa-acm:~ # ssh 192.168.100.100 The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established. ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Are you sure you want to continue connecting (yes/no)?
Muodosta SSH-yhteys iDRACiin ja virheilmoitus "vastaavaa salausta ei löydy" -virhe:
Kun iDRAC-salaustunnukset on päivitetty, SSH ACM:stä tai muusta virtuaalikoneesta iDRACiin saattaa saada seuraavan virheilmoituksen. Seuraavassa esimerkissä iDRAC:n IP-osoite on 10.60.9.156:
idpa-acm:~ # ssh 10.60.9.156 Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com idpa-acm:~ #
Ongelman voi ratkaista kahdella tavalla.
Vaihtoehto 1:
Lisää vaihtoehto "-c aes128-gcm@openssh.com", kun SSH iDRACiin.
Esimerkki:
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156 Password: racadm>>
Vaihtoehto 2:
Muokkaa /etc/ssh/ssh_config sisältämään salaukset aes128-gcm@openssh.com ja aes256-gcm@openssh.com.
1. Kirjaudu virtuaalikoneeseen root-käyttäjänä. Jos kyseessä on Avamar tai Avamar Proxy, kirjaudu ensin admin-käyttäjänä ja sitten su-käyttäjänä.
2. Vaihda työhakemistoksi /etc/ssh.
cd /etc/ssh
3. Tee varmuuskopio olemassa olevasta tiedostosta /etc/ssh/ssh_config.
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup
4. Muokkaa tiedostoa /etc/ssh/ssh_config sisältämään salaukset aes128-gcm@openssh.com ja aes256-gcm@openssh.com.
Lähettäjä:
Kuva 2: Oletussalausasetus tiedostossa /etc/ssh/ssh_config
Vastaanottaja:
Kuva 3: Uusi salausasetus tiedostossa /etc/ssh/ssh_config
Kun /etc/ssh/ssh_config on päivitetty sisältämään salaukset aes128-gcm@openssh.com ja aes256-gcm@openssh.com, vastaavaa salausta ei löytynyt -ongelma pitäisi ratkaista.
Jos Windows-pohjainen SSH-asiakas saa virheilmoituksen "vastaavaa salausta ei löytynyt" -virheen:
Kuva 4: Windows-pohjaisessa SSH-asiakasohjelmassa
vastaanotettu "vastaavaa salausta ei löytynyt" -virhe PuTTY-versio 0.81 on testattu ilman ongelmaa.
Kuva 5: PuTTY 0.81:llä voidaan käyttää iDRACia Windowsista.
法律免责声明
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000224873
文章类型: Security KB
上次修改时间: 18 8月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。