Gli appliance PowerProtect serie DP e IDPA segnalano l'impostazione SHA1 obsoleta per SSH (QID 38909)
摘要: Gli scanner di sicurezza segnalano impostazioni crittografiche SSH deprecate QID 38909 per appliance PowerProtect serie Data Protection o Integration Data Protection Appliance (IDPA).
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
安全性文章类型
Security KB
CVE 标识符
Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909
问题摘要
L'algoritmo di crittografia ssh-rsa utilizzato in Secure Shell (SSH) per l'autenticazione è stato dichiarato obsoleto da OpenSSH. La deprecazione di ssh-rsa deriva principalmente dalle preoccupazioni sulla sua sicurezza. Con l'aumento della potenza di elaborazione, è diventato più fattibile per gli aggressori decifrare le chiavi RSA, in particolare quelle generate con chiavi di lunghezza inferiore. Ciò lo rende meno affidabile per proteggere le connessioni SSH dalle minacce moderne.
Nota: Questo articolo è destinato solo agli appliance della serie PowerProtect Data Protection o a IDPA versione 2.7.6. Per le versioni precedenti di IDPA, è consigliato l'aggiornamento alla versione 2.7.6.
Nella versione 2.7.6 di IDPA, per i seguenti componenti l'algoritmo di crittografia ssh-rsa è abilitato in SSH per impostazione predefinita:
- Appliance Configuration Manager (ACM)
- Software di protezione (Avamar)
- Proxy della macchina virtuale (VM) (Avamar Proxy)
- Protection Storage (Data Domain)
- Reporting e analisi (app DPA e datastore)
- Search
- Integrated Dell Remote Access Controller (iDRAC)
Utilizzare il comando seguente per verificare se il sistema è interessato dalla vulnerabilità ssh-rsa:
ssh -o "HostKeyAlgorithms ssh-rsa" localhosto l'indirizzo IP del sistema se è richiesta una verifica remota:
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>
Se il sistema è vulnerabile a ssh-rsa, risponde con una chiave RSA. Di seguito è riportato un output di esempio:
The authenticity of host 'localhost (127.0.0.1)' can't be established. RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g. Are you sure you want to continue connecting (yes/no)?
Se il sistema disabilitava ssh-rsa, la negoziazione non riusciva e non riusciva a stabilire la comunicazione. Di seguito è riportato un output di esempio:
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
建议
La seguente soluzione alternativa disabilita la chiave host ssh-rsa per i componenti correlati a IDPA.
Per ACM, Avamar, Avamar Proxy, DPA e Search:
1. Accedere alla VM come root. Per Avamar e Avamar Proxy, accedere prima come amministratore, quindi passare a root.
2. Modificare la directory di lavoro in /etc/ssh
3. Creare una copia di backup del file /etc/ssh/sshd_config esistente
4. Modificare /etc/ssh/sshd_config e consentire solo "HostKey /etc/ssh/ssh_host_ecdsa_key" e "HostKey /etc/ssh/ssh_host_ed25519_key" nel file di configurazione per tutte le impostazioni di HostKey:
Figura 1. Un esempio che mostra solo "HostKey /etc/ssh/ssh_host_ecdsa_key" e "HostKey /etc/ssh/ssh_host_ed25519_key" sono attivi.
5. Testare la sintassi del file /etc/ssh/sshd_config, il comando seguente deve generare "0". In caso contrario, correggere eventuali errori di sintassi nel file prima di continuare:
6. Riavviare il processo sshd:
7. Se la chiave host ssh-rsa è disabilitata, quando si utilizza ssh-rsa come chiave host viene utilizzato come chiave host viene visualizzato il messaggio "no matching host key type found":
Per Data Domain:
Per iDRAC:
1. Accedere all'interfaccia
della riga di comando 2 di iDRAC RACADM. Esaminare l'impostazione esistente delle crittografie di crittografia SSH con il seguente comando:
3. Aggiornare l'impostazione delle crittografie SSH con il seguente comando:
4. Verificare nuovamente l'impostazione delle crittografie SSH:
Di seguito è riportato un esempio dell'output previsto dei comandi precedenti:
5. Verificare che ssh-rsa sia disabilitata come chiave host da SSH:
Per ACM, Avamar, Avamar Proxy, DPA e Search:
1. Accedere alla VM come root. Per Avamar e Avamar Proxy, accedere prima come amministratore, quindi passare a root.
2. Modificare la directory di lavoro in /etc/ssh
cd /etc/ssh
3. Creare una copia di backup del file /etc/ssh/sshd_config esistente
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
4. Modificare /etc/ssh/sshd_config e consentire solo "HostKey /etc/ssh/ssh_host_ecdsa_key" e "HostKey /etc/ssh/ssh_host_ed25519_key" nel file di configurazione per tutte le impostazioni di HostKey:
Nota: La riga inizia con un hashtag (#) che non ha effetto e il sistema lo considera solo come commenti.
Figura 1. Un esempio che mostra solo "HostKey /etc/ssh/ssh_host_ecdsa_key" e "HostKey /etc/ssh/ssh_host_ed25519_key" sono attivi.
5. Testare la sintassi del file /etc/ssh/sshd_config, il comando seguente deve generare "0". In caso contrario, correggere eventuali errori di sintassi nel file prima di continuare:
sshd -t |echo $? 0
6. Riavviare il processo sshd:
systemctl restart sshd
7. Se la chiave host ssh-rsa è disabilitata, quando si utilizza ssh-rsa come chiave host viene utilizzato come chiave host viene visualizzato il messaggio "no matching host key type found":
ssh -o "HostKeyAlgorithms ssh-rsa" localhost Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
Per Data Domain:
Nota: La soluzione alternativa richiede il supporto di IDPA o Data Domain perché richiede l'accesso alla modalità BASH di DD OS.
Nota: Le modifiche apportate al file sshd_config non verranno salvate dopo un riavvio o un aggiornamento. Queste modifiche devono essere applicate nuovamente fino a quando non vengono rilasciate le nuove versioni di DD OS 8.0 o 7.10.1.40, che forniscono una risoluzione permanente. Non esiste un tempo stimato per l'integrazione di queste versioni di DD OS in IDPA.
Per iDRAC:
1. Accedere all'interfaccia
della riga di comando 2 di iDRAC RACADM. Esaminare l'impostazione esistente delle crittografie di crittografia SSH con il seguente comando:
get idrac.sshcrypto.ciphers
3. Aggiornare l'impostazione delle crittografie SSH con il seguente comando:
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
4. Verificare nuovamente l'impostazione delle crittografie SSH:
get idrac.sshcrypto.ciphers
Di seguito è riportato un esempio dell'output previsto dei comandi precedenti:
racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com [Key=idrac.Embedded.1#SSHCrypto.1] Object value modified successfully racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>
5. Verificare che ssh-rsa sia disabilitata come chiave host da SSH:
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address> Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
其他信息
La chiave host nota precedente non è valida:
Dopo aver disabilitato la chiave host ssh-rsa, la chiave host RSA salvata in precedenza nel file known_hosts SSH non è più valida. Potrebbe essere visualizzato un errore simile al seguente:
Per aggiornare il file known_hosts SSH per un host specifico, è possibile utilizzare il seguente comando:
Un esempio potrebbe essere simile al seguente:
Accedere da SSH a iDRAC con un errore "nessuna crittografia corrispondente trovata":
Dopo l'aggiornamento delle crittografie iDRAC, SSH da ACM o da un'altra macchina virtuale a iDRAC potrebbe ricevere il seguente messaggio di errore. Nell'esempio, l'indirizzo IP di iDRAC è 10.60.9.156:
Sono disponibili due opzioni per risolvere il problema.
Opzione 1:
aggiungere l'opzione "-c aes128-gcm@openssh.com" quando si esegue SSH a iDRAC.
Ad esempio:
Opzione 2:
Modificare /etc/ssh/ssh_config per includere le crittografie aes128-gcm@openssh.com e aes256-gcm@openssh.com.
1. Accedere alla VM come root. Per Avamar e Avamar Proxy, accedere prima come amministratore, quindi passare a root.
2. Modificare la directory di lavoro in /etc/ssh.
3. Creare una copia di backup del file /etc/ssh/ssh_config esistente.
4. Modificare /etc/ssh/ssh_config in modo da includere le crittografie aes128-gcm@openssh.com e aes256-gcm@openssh.com.
Da:Figura
2: L'impostazione di crittografia predefinita in /etc/ssh/ssh_config
A:
Figura 3: Nuova impostazione della crittografia in /etc/ssh/ssh_config
Dopo aver aggiornato /etc/ssh/ssh_config per includere le crittografie aes128-gcm@openssh.com e aes256-gcm@openssh.com, il problema "nessuna cifratura corrispondente trovata" dovrebbe essere risolto.
Nel caso in cui un client SSH basato su Windows riceva l'errore "nessuna crittografia corrispondente trovata":
Figura 4: L'errore "nessuna crittografia corrispondente trovata" ricevuto in un client
SSH basato su Windows PuTTY versione 0.81 è stato testato senza il problema.
Figura 5: PuTTY 0.81 può essere utilizzato per accedere a iDRAC da Windows.
Dopo aver disabilitato la chiave host ssh-rsa, la chiave host RSA salvata in precedenza nel file known_hosts SSH non è più valida. Potrebbe essere visualizzato un errore simile al seguente:
idpa-acm:~ # ssh 192.168.100.100 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending RSA key in /root/.ssh/known_hosts:9 You can use following command to remove the offending key: ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts ECDSA host key for 192.168.100.100 has changed and you have requested strict checking. Host key verification failed. idpa-acm:~ #
Per aggiornare il file known_hosts SSH per un host specifico, è possibile utilizzare il seguente comando:
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts
Un esempio potrebbe essere simile al seguente:
/root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old idpa-acm:~ # ssh 192.168.100.100 The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established. ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Are you sure you want to continue connecting (yes/no)?
Accedere da SSH a iDRAC con un errore "nessuna crittografia corrispondente trovata":
Dopo l'aggiornamento delle crittografie iDRAC, SSH da ACM o da un'altra macchina virtuale a iDRAC potrebbe ricevere il seguente messaggio di errore. Nell'esempio, l'indirizzo IP di iDRAC è 10.60.9.156:
idpa-acm:~ # ssh 10.60.9.156 Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com idpa-acm:~ #
Sono disponibili due opzioni per risolvere il problema.
Opzione 1:
aggiungere l'opzione "-c aes128-gcm@openssh.com" quando si esegue SSH a iDRAC.
Ad esempio:
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156 Password: racadm>>
Opzione 2:
Modificare /etc/ssh/ssh_config per includere le crittografie aes128-gcm@openssh.com e aes256-gcm@openssh.com.
1. Accedere alla VM come root. Per Avamar e Avamar Proxy, accedere prima come amministratore, quindi passare a root.
2. Modificare la directory di lavoro in /etc/ssh.
cd /etc/ssh
3. Creare una copia di backup del file /etc/ssh/ssh_config esistente.
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup
4. Modificare /etc/ssh/ssh_config in modo da includere le crittografie aes128-gcm@openssh.com e aes256-gcm@openssh.com.
Da:Figura
2: L'impostazione di crittografia predefinita in /etc/ssh/ssh_config
A:
Figura 3: Nuova impostazione della crittografia in /etc/ssh/ssh_config
Dopo aver aggiornato /etc/ssh/ssh_config per includere le crittografie aes128-gcm@openssh.com e aes256-gcm@openssh.com, il problema "nessuna cifratura corrispondente trovata" dovrebbe essere risolto.
Nel caso in cui un client SSH basato su Windows riceva l'errore "nessuna crittografia corrispondente trovata":
Figura 4: L'errore "nessuna crittografia corrispondente trovata" ricevuto in un client
SSH basato su Windows PuTTY versione 0.81 è stato testato senza il problema.
Figura 5: PuTTY 0.81 può essere utilizzato per accedere a iDRAC da Windows.
法律免责声明
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000224873
文章类型: Security KB
上次修改时间: 18 8月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。