PowerProtect DPシリーズ アプライアンスとIDPAレポートSHA1の廃止されたSSHの設定(QID 38909)
摘要: セキュリティ スキャナーが、PowerProtect Data Protectionシリーズ アプライアンスまたはIntegration Data Protection Appliance (IDPA)のSSH暗号形式設定QID 38909を非推奨と報告します。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
安全性文章类型
Security KB
CVE 标识符
Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909
问题摘要
Secure Shell (SSH)で認証に使用される ssh-rsa 暗号化アルゴリズムは、OpenSSHによって廃止が宣言されました。ssh-rsaの廃止は、主にセキュリティに関する懸念に起因しています。計算能力が向上するにつれて、攻撃者がRSAキー、特に短いキー長で生成されたキーを解読する可能性が高まっています。これにより、最新の脅威からSSH接続を保護する際の信頼性が低下します。
注:この記事は、PowerProtect Data Protectionシリーズ アプライアンスまたはIDPAバージョン2.7.6のみを対象としています。以前のバージョンのIDPAの場合は、バージョン2.7.6にアップグレードすることをお勧めします。
IDPAバージョン2.7.6では、次のコンポーネントのSSHでssh-rsa暗号化アルゴリズムがデフォルトで有効になっています。
- Appliance Configuration Manager (ACM)
- 保護ソフトウェア(Avamar)
- 仮想マシン(VM)プロキシ(Avamarプロキシ)
- 保護ストレージ(Data Domain)
- レポート作成と分析(DPAアプリとデータストア)
- 検索
- Integrated Dell Remote Access Controller(iDRAC)
次のコマンドを使用して、システムがssh-rsaの脆弱性の影響を受けているかどうかを確認します。
ssh -o "HostKeyAlgorithms ssh-rsa" localhostリモート検証が必要な場合は、システムのIPアドレスを入力します。
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>
システムがssh-rsaに対して脆弱な場合は、RSAキーで応答します。出力例を次に示します。
The authenticity of host 'localhost (127.0.0.1)' can't be established. RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g. Are you sure you want to continue connecting (yes/no)?
システムでssh-rsaが無効になっている場合、ネゴシエーションは失敗し、通信を確立できませんでした。出力例を次に示します。
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
建议
次の回避策では、IDPA関連コンポーネントのssh-rsaホスト キーを無効にします。
ACM、Avamar、Avamar Proxy、DPA、検索の場合:
1.rootとしてVMにログインします。AvamarおよびAvamarプロキシの場合は、最初に管理者としてログインしてから、suでrootに戻ります。
2.作業ディレクトリーを/etc/sshに変更します。
3.既存の/etc/ssh/sshd_configのバックアップ コピーを作成します
4./etc/ssh/sshd_configを変更し、すべてのHostKey設定の構成ファイルで「HostKey /etc/ssh/ssh_host_ecdsa_key」と「HostKey /etc/ssh/ssh_host_ed25519_key」のみを許可します。
図1: 「HostKey /etc/ssh/ssh_host_ecdsa_key」と「HostKey /etc/ssh/ssh_host_ed25519_key」のみがアクティブであることを示す例。
5./etc/ssh/sshd_configファイルの構文をテストします。次のコマンドでは「0」が出力される必要があります。そうでない場合は、続行する前にファイル内の構文エラーを修正します。
6.sshdプロセスを再開します。
7.ホスト キーssh-rsaが無効になっている場合、ssh-rsaをホスト キーとして使用すると、「no matching host key type found」というメッセージが表示されます。
Data Domainの場合:
iDRACの場合:
1.iDRAC RACADMコマンド ライン インターフェイスにログインします
2.次のコマンドを使用して、既存のSSH暗号設定を確認します。
3.次のコマンドを使用して、SSH暗号設定を更新します。
4.SSH暗号の設定を再度確認します。
上記のコマンドで想定される出力の例を次に示します。
5.SSHによってssh-rsaがホスト キーとして無効になっていることを確認します。
ACM、Avamar、Avamar Proxy、DPA、検索の場合:
1.rootとしてVMにログインします。AvamarおよびAvamarプロキシの場合は、最初に管理者としてログインしてから、suでrootに戻ります。
2.作業ディレクトリーを/etc/sshに変更します。
cd /etc/ssh
3.既存の/etc/ssh/sshd_configのバックアップ コピーを作成します
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
4./etc/ssh/sshd_configを変更し、すべてのHostKey設定の構成ファイルで「HostKey /etc/ssh/ssh_host_ecdsa_key」と「HostKey /etc/ssh/ssh_host_ed25519_key」のみを許可します。
注:行はハッシュタグ (#) で始まりますが、これは有効ではなく、システムはそれをコメントのみと見なします。
図1: 「HostKey /etc/ssh/ssh_host_ecdsa_key」と「HostKey /etc/ssh/ssh_host_ed25519_key」のみがアクティブであることを示す例。
5./etc/ssh/sshd_configファイルの構文をテストします。次のコマンドでは「0」が出力される必要があります。そうでない場合は、続行する前にファイル内の構文エラーを修正します。
sshd -t |echo $? 0
6.sshdプロセスを再開します。
systemctl restart sshd
7.ホスト キーssh-rsaが無効になっている場合、ssh-rsaをホスト キーとして使用すると、「no matching host key type found」というメッセージが表示されます。
ssh -o "HostKeyAlgorithms ssh-rsa" localhost Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
Data Domainの場合:
注:回避策では、DD OS BASHモードにアクセスする必要があるため、IDPAまたはData Domainのサポートが必要です。
注:sshd_configファイルに加えられた変更は、再起動またはアップグレード後に保存されません。新しいDD OSバージョン8.0または7.10.1.40がリリースされて恒久的な解決策が得られるまで、これらの変更を再適用する必要があります。これらのDD OSバージョンがIDPAに統合されるまでの推定時間はありません。
iDRACの場合:
1.iDRAC RACADMコマンド ライン インターフェイスにログインします
2.次のコマンドを使用して、既存のSSH暗号設定を確認します。
get idrac.sshcrypto.ciphers
3.次のコマンドを使用して、SSH暗号設定を更新します。
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
4.SSH暗号の設定を再度確認します。
get idrac.sshcrypto.ciphers
上記のコマンドで想定される出力の例を次に示します。
racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com [Key=idrac.Embedded.1#SSHCrypto.1] Object value modified successfully racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>
5.SSHによってssh-rsaがホスト キーとして無効になっていることを確認します。
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address> Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
其他信息
以前の既知のホスト キーが無効です
ssh-rsaホスト キーを無効にすると、SSH known_hostsファイルに以前に保存したRSAホスト キーは無効になります。次のようなエラーが表示されます。
特定のホストのSSH known_hostsファイルを更新するには、次のコマンドを使用できます。
たとえば、次のようになります。
「一致する暗号が見つかりません」エラーでiDRACにSSHで接続します
iDRAC暗号をアップデートした後、ACMまたはその他のVMからiDRACへのSSHで次のエラー メッセージが表示されることがあります。この例では、iDRAC IPアドレスは10.60.9.156です。
この問題を解決するには、2つのオプションがあります。
オプション1:
iDRACにSSHで接続する場合は、「-c aes128-gcm@openssh.com」オプションを追加します。
例:
オプション2:
/etc/ssh/ssh_configを変更して、暗号 aes128-gcm@openssh.com と aes256-gcm@openssh.com を含めます
1.rootとしてVMにログインします。AvamarおよびAvamarプロキシの場合は、最初に管理者としてログインしてから、suでrootに戻ります。
2.作業ディレクトリーを/etc/sshに変更します。
3.既存の/etc/ssh/ssh_configのバックアップコピーを作成します。
4./etc/ssh/ssh_configを変更して、暗号 aes128-gcm@openssh.com と aes256-gcm@openssh.com を含めます
差出人:
図2: /etc/ssh/ssh_config
To:
図3のデフォルトの暗号設定は次のとおりです。/etc/ssh/ssh_config
の新しい暗号設定/etc/ssh/ssh_configを更新して暗号 aes128-gcm@openssh.com と aes256-gcm@openssh.com を含めると、「一致する暗号が見つかりません」を解決する必要があります。
WindowsベースのSSHクライアントが「no matching cipher found」エラーを受信した場合:
図4: WindowsベースのSSHクライアントで「一致する暗号が見つかりません」エラーが表示されます
PuTTYバージョン0.81は問題なしでテストされています。
図5: PuTTY 0.81を使用して、WindowsからiDRACにアクセスできます。
ssh-rsaホスト キーを無効にすると、SSH known_hostsファイルに以前に保存したRSAホスト キーは無効になります。次のようなエラーが表示されます。
idpa-acm:~ # ssh 192.168.100.100 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending RSA key in /root/.ssh/known_hosts:9 You can use following command to remove the offending key: ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts ECDSA host key for 192.168.100.100 has changed and you have requested strict checking. Host key verification failed. idpa-acm:~ #
特定のホストのSSH known_hostsファイルを更新するには、次のコマンドを使用できます。
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts
たとえば、次のようになります。
/root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old idpa-acm:~ # ssh 192.168.100.100 The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established. ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Are you sure you want to continue connecting (yes/no)?
「一致する暗号が見つかりません」エラーでiDRACにSSHで接続します
iDRAC暗号をアップデートした後、ACMまたはその他のVMからiDRACへのSSHで次のエラー メッセージが表示されることがあります。この例では、iDRAC IPアドレスは10.60.9.156です。
idpa-acm:~ # ssh 10.60.9.156 Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com idpa-acm:~ #
この問題を解決するには、2つのオプションがあります。
オプション1:
iDRACにSSHで接続する場合は、「-c aes128-gcm@openssh.com」オプションを追加します。
例:
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156 Password: racadm>>
オプション2:
/etc/ssh/ssh_configを変更して、暗号 aes128-gcm@openssh.com と aes256-gcm@openssh.com を含めます
1.rootとしてVMにログインします。AvamarおよびAvamarプロキシの場合は、最初に管理者としてログインしてから、suでrootに戻ります。
2.作業ディレクトリーを/etc/sshに変更します。
cd /etc/ssh
3.既存の/etc/ssh/ssh_configのバックアップコピーを作成します。
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup
4./etc/ssh/ssh_configを変更して、暗号 aes128-gcm@openssh.com と aes256-gcm@openssh.com を含めます
差出人:
図2: /etc/ssh/ssh_config
To:
図3のデフォルトの暗号設定は次のとおりです。/etc/ssh/ssh_config
の新しい暗号設定/etc/ssh/ssh_configを更新して暗号 aes128-gcm@openssh.com と aes256-gcm@openssh.com を含めると、「一致する暗号が見つかりません」を解決する必要があります。
WindowsベースのSSHクライアントが「no matching cipher found」エラーを受信した場合:
図4: WindowsベースのSSHクライアントで「一致する暗号が見つかりません」エラーが表示されます
PuTTYバージョン0.81は問題なしでテストされています。
図5: PuTTY 0.81を使用して、WindowsからiDRACにアクセスできます。
法律免责声明
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000224873
文章类型: Security KB
上次修改时间: 18 8月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。