Apparaten uit de PowerProtect DP serie en IDPA melden dat SHA1 instelling verouderd is voor SSH (QID 38909)
摘要: Rapport over beveiligingsscanners Afgeschafte cryptografische SSH-instellingen QID 38909 voor PowerProtect Data Protection Series-apparaten of Integration Data Protection Appliance (IDPA). ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
安全性文章类型
Security KB
CVE 标识符
Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909
问题摘要
Het ssh-rsa-versleutelingsalgoritme dat in Secure Shell (SSH) wordt gebruikt voor authenticatie is door OpenSSH als verouderd verklaard. De afschrijving van ssh-rsa komt voornamelijk voort uit bezorgdheid over de veiligheid ervan. Naarmate de rekenkracht is toegenomen, is het voor aanvallers gemakkelijker geworden om RSA-sleutels te kraken, met name die welke worden gegenereerd met kortere sleutellengtes. Dit maakt het minder betrouwbaar voor het beveiligen van SSH-verbindingen tegen moderne bedreigingen.
Opmerking: Dit artikel is alleen gericht op apparaten uit de PowerProtect Data Protection serie of IDPA versie 2.7.6. Voor eerdere versies van IDPA wordt een upgrade naar versie 2.7.6 aanbevolen.
Op IDPA versie 2.7.6 is het ssh-rsa-versleutelingsalgoritme voor de volgende componenten standaard ingeschakeld in SSH:
- Appliance Configuration Manager (ACM)
- Beschermingssoftware (Avamar)
- Proxy voor virtuele machines (VM's) (Avamar Proxy)
- Protection Storage (Data Domain)
- Rapportage en analytics (DPA-app en datastore)
- Zoeken
- Integrated Dell Remote Access Controller (iDRAC)
Gebruik de volgende opdracht om te controleren of het systeem is getroffen door het beveiligingslek met betrekking tot ssh-rsa:
ssh -o "HostKeyAlgorithms ssh-rsa" localhostof het IP-adres van het systeem, indien een verificatie op afstand vereist is:
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>
Als het systeem kwetsbaar is voor ssh-rsa, reageert het met een RSA-sleutel. Hier is een voorbeeld van uitvoer:
The authenticity of host 'localhost (127.0.0.1)' can't be established. RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g. Are you sure you want to continue connecting (yes/no)?
Als het systeem ssh-rsa zou uitschakelen, zou de onderhandeling mislukken en zou er geen communicatie tot stand kunnen worden gebracht. Hier is een voorbeeld van uitvoer:
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
建议
De volgende tijdelijke oplossing schakelt de ssh-rsa-hostsleutel uit voor IDPA-gerelateerde componenten.
Voor ACM, Avamar, Avamar Proxy, DPA en Search:
1. Meld u aan bij de VM als root. Voor Avamar en Avamar Proxy meldt u zich eerst aan als admin en vervolgens su to root.
2. Verander de werkdirectory in /etc/ssh
3. Maak een reservekopie van de bestaande /etc/ssh/sshd_config
4. Wijzig de /etc/ssh/sshd_config en sta alleen "HostKey /etc/ssh/ssh_host_ecdsa_key" en "HostKey /etc/ssh/ssh_host_ed25519_key" toe in het configuratiebestand voor alle HostKey-instellingen:
Afbeelding 1: Een voorbeeld waarin alleen "HostKey /etc/ssh/ssh_host_ecdsa_key" en "HostKey /etc/ssh/ssh_host_ed25519_key" actief zijn.
5. Test de syntaxis van het bestand /etc/ssh/sshd_config. De onderstaande opdracht moet "0" afdrukken. Als dit niet het geval is, corrigeert u eventuele syntaxisfouten in het bestand voordat u verdergaat:
6. Start het sshd-proces opnieuw:
7. Als de hostsleutel ssh-rsa is uitgeschakeld, reageert een bericht "no matching host key type found" wanneer de ssh-rsa wordt gebruikt als de hostsleutel:
Voor Data Domain:
Voor iDRAC:
1. Meld u aan bij de iDRAC RACADM-opdrachtregelinterface
2. Controleer de bestaande instelling voor SSH-cryptocijfers met de volgende opdracht:
3. Werk de instelling voor SSH-cryptoversleuteling bij met de volgende opdracht:
4. Controleer de instelling van de SSH-cryptocijfers opnieuw:
Hier volgt een voorbeeld van de verwachte uitvoer van de bovenstaande opdrachten:
5. Controleer of de ssh-rsa is uitgeschakeld als de hostsleutel door SSH:
Voor ACM, Avamar, Avamar Proxy, DPA en Search:
1. Meld u aan bij de VM als root. Voor Avamar en Avamar Proxy meldt u zich eerst aan als admin en vervolgens su to root.
2. Verander de werkdirectory in /etc/ssh
cd /etc/ssh
3. Maak een reservekopie van de bestaande /etc/ssh/sshd_config
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
4. Wijzig de /etc/ssh/sshd_config en sta alleen "HostKey /etc/ssh/ssh_host_ecdsa_key" en "HostKey /etc/ssh/ssh_host_ed25519_key" toe in het configuratiebestand voor alle HostKey-instellingen:
Opmerking: De regel begint met een hashtag (#) die niet van kracht wordt en het systeem beschouwt het alleen als opmerkingen.
Afbeelding 1: Een voorbeeld waarin alleen "HostKey /etc/ssh/ssh_host_ecdsa_key" en "HostKey /etc/ssh/ssh_host_ed25519_key" actief zijn.
5. Test de syntaxis van het bestand /etc/ssh/sshd_config. De onderstaande opdracht moet "0" afdrukken. Als dit niet het geval is, corrigeert u eventuele syntaxisfouten in het bestand voordat u verdergaat:
sshd -t |echo $? 0
6. Start het sshd-proces opnieuw:
systemctl restart sshd
7. Als de hostsleutel ssh-rsa is uitgeschakeld, reageert een bericht "no matching host key type found" wanneer de ssh-rsa wordt gebruikt als de hostsleutel:
ssh -o "HostKeyAlgorithms ssh-rsa" localhost Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
Voor Data Domain:
Opmerking: De tijdelijke oplossing vereist IDPA- of Data Domain-ondersteuning, omdat dit toegang tot de DD OS BASH-modus vereist.
Opmerking: Wijzigingen in het sshd_config bestand worden niet opgeslagen na een herstart of upgrade. Deze wijzigingen moeten opnieuw worden toegepast totdat de nieuwe DD OS-versies 8.0 of 7.10.1.40 worden uitgebracht, wat een permanente oplossing biedt. Er is geen geschatte tijd voor wanneer deze DD OS-versies in IDPA worden geïntegreerd.
Voor iDRAC:
1. Meld u aan bij de iDRAC RACADM-opdrachtregelinterface
2. Controleer de bestaande instelling voor SSH-cryptocijfers met de volgende opdracht:
get idrac.sshcrypto.ciphers
3. Werk de instelling voor SSH-cryptoversleuteling bij met de volgende opdracht:
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
4. Controleer de instelling van de SSH-cryptocijfers opnieuw:
get idrac.sshcrypto.ciphers
Hier volgt een voorbeeld van de verwachte uitvoer van de bovenstaande opdrachten:
racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com [Key=idrac.Embedded.1#SSHCrypto.1] Object value modified successfully racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>
5. Controleer of de ssh-rsa is uitgeschakeld als de hostsleutel door SSH:
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address> Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
其他信息
De vorige bekende hostsleutel is niet geldig:
Na het uitschakelen van de ssh-rsa-hostsleutel is de eerder opgeslagen RSA-hostsleutel in het SSH known_hosts-bestand niet langer geldig. Er kan een fout optreden die lijkt op:
Om het SSH known_hosts-bestand voor een specifieke host bij te werken, kan de volgende opdracht worden gebruikt:
Een voorbeeld is vergelijkbaar met:
SSH naar iDRAC met de fout "no matching cipher found":
Na het bijwerken van de iDRAC-cryptocoderingen, kan SSH van ACM of een andere VM naar de iDRAC de volgende foutmelding ontvangen. Het IP-adres van de iDRAC is 10.60.9.156 in dit voorbeeld:
Er zijn twee manieren om dit probleem op te lossen.
Optie 1:
Voeg de optie "-c aes128-gcm@openssh.com" toe aan de iDRAC als SSH.
Bijvoorbeeld:
Optie 2:
Wijzig de /etc/ssh/ssh_config om cijfers aes128-gcm@openssh.com en aes256-gcm@openssh.com op te nemen.
1. Meld u aan bij de VM als root. Voor Avamar en Avamar Proxy meldt u zich eerst aan als admin en vervolgens su to root.
2. Verander de werkdirectory in /etc/ssh.
3. Maak een reservekopie van de bestaande /etc/ssh/ssh_config.
4. Wijzig de /etc/ssh/ssh_config om de cijfers aes128-gcm@openssh.com en aes256-gcm@openssh.com op te nemen.
Van:
Figuur 2: De standaard cipher instelling in /etc/ssh/ssh_config
To:
Figure 3: Nieuwe cipher-instelling in /etc/ssh/ssh_config
Na het updaten van de /etc/ssh/ssh_config om de cijfers aes128-gcm@openssh.com en aes256-gcm@openssh.com op te nemen, zou de "no matching cipher found" opgelost moeten zijn.
In het geval dat een Windows-gebaseerde SSH-client de foutmelding "no matching cipher found" ontvangt:
Figuur 4: De foutmelding "no matching cipher found" ontvangen in een Windows-SSH-client
De PuTTY versie 0.81 is getest zonder het probleem.
Figuur 5: PuTTY 0.81 kan worden gebruikt om de iDRAC vanuit Windows te openen.
Na het uitschakelen van de ssh-rsa-hostsleutel is de eerder opgeslagen RSA-hostsleutel in het SSH known_hosts-bestand niet langer geldig. Er kan een fout optreden die lijkt op:
idpa-acm:~ # ssh 192.168.100.100 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending RSA key in /root/.ssh/known_hosts:9 You can use following command to remove the offending key: ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts ECDSA host key for 192.168.100.100 has changed and you have requested strict checking. Host key verification failed. idpa-acm:~ #
Om het SSH known_hosts-bestand voor een specifieke host bij te werken, kan de volgende opdracht worden gebruikt:
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts
Een voorbeeld is vergelijkbaar met:
/root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old idpa-acm:~ # ssh 192.168.100.100 The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established. ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Are you sure you want to continue connecting (yes/no)?
SSH naar iDRAC met de fout "no matching cipher found":
Na het bijwerken van de iDRAC-cryptocoderingen, kan SSH van ACM of een andere VM naar de iDRAC de volgende foutmelding ontvangen. Het IP-adres van de iDRAC is 10.60.9.156 in dit voorbeeld:
idpa-acm:~ # ssh 10.60.9.156 Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com idpa-acm:~ #
Er zijn twee manieren om dit probleem op te lossen.
Optie 1:
Voeg de optie "-c aes128-gcm@openssh.com" toe aan de iDRAC als SSH.
Bijvoorbeeld:
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156 Password: racadm>>
Optie 2:
Wijzig de /etc/ssh/ssh_config om cijfers aes128-gcm@openssh.com en aes256-gcm@openssh.com op te nemen.
1. Meld u aan bij de VM als root. Voor Avamar en Avamar Proxy meldt u zich eerst aan als admin en vervolgens su to root.
2. Verander de werkdirectory in /etc/ssh.
cd /etc/ssh
3. Maak een reservekopie van de bestaande /etc/ssh/ssh_config.
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup
4. Wijzig de /etc/ssh/ssh_config om de cijfers aes128-gcm@openssh.com en aes256-gcm@openssh.com op te nemen.
Van:
Figuur 2: De standaard cipher instelling in /etc/ssh/ssh_config
To:
Figure 3: Nieuwe cipher-instelling in /etc/ssh/ssh_config
Na het updaten van de /etc/ssh/ssh_config om de cijfers aes128-gcm@openssh.com en aes256-gcm@openssh.com op te nemen, zou de "no matching cipher found" opgelost moeten zijn.
In het geval dat een Windows-gebaseerde SSH-client de foutmelding "no matching cipher found" ontvangt:
Figuur 4: De foutmelding "no matching cipher found" ontvangen in een Windows-SSH-client
De PuTTY versie 0.81 is getest zonder het probleem.
Figuur 5: PuTTY 0.81 kan worden gebruikt om de iDRAC vanuit Windows te openen.
法律免责声明
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000224873
文章类型: Security KB
上次修改时间: 18 8月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。