Tilpasset verktøy for PowerProtect DP-serien og IDPA-rapport SHA1 avskrevet innstilling for SSH (QID 38909)
摘要: Rapport om sikkerhetsskannere Utdaterte kryptografiske innstillinger for SSH QID 38909 for tilpassede verktøy i PowerProtect-databeskyttelsesserien eller Integrated Data Protection Appliance (IDPA). ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
安全性文章类型
Security KB
CVE 标识符
Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909
问题摘要
Krypteringsalgoritmen ssh-rsa som brukes i Secure Shell (SSH) for godkjenning, er erklært som avskrevet av OpenSSH. Avskrivningen av ssh-rsa stammer hovedsakelig fra bekymringer om sikkerheten. Etter hvert som datakraften har økt, har det blitt mer mulig for angripere å knekke RSA-nøkler, spesielt de som genereres med kortere nøkkellengder. Dette gjør det mindre pålitelig for å sikre SSH-forbindelser mot moderne trusler.
Merk: Denne artikkelen er bare rettet mot tilpassede verktøy i PowerProtect Data Protection Series eller IDPA versjon 2.7.6. For eldre versjoner av IDPA anbefales oppgradering til versjon 2.7.6.
På IDPA versjon 2.7.6 har følgende komponenter ssh-rsa-krypteringsalgoritmen aktivert i SSH som standard:
- Appliance Configuration Manager (ACM)
- Beskyttelsesprogramvare (Avamar)
- Proxy for virtuell maskin (VM) (Avamar Proxy)
- Beskyttelseslagring (Data Domain)
- Rapportering og analyse (DPA-app og datastore)
- Søk
- Integrated Dell Remote Access Controller (iDRAC)
Bruk følgende kommando til å kontrollere om systemet berøres av ssh-rsa-sikkerhetsproblemet:
ssh -o "HostKeyAlgorithms ssh-rsa" localhosteller systemets IP-adresse hvis en ekstern verifisering kreves:
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>
Hvis systemet er sårbart for ssh-rsa, svarer det med en RSA-nøkkel. Her er et eksempel på utdata:
The authenticity of host 'localhost (127.0.0.1)' can't be established. RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g. Are you sure you want to continue connecting (yes/no)?
Hvis systemet deaktiverte ssh-rsa, ville forhandlingen mislykkes og kunne ikke etablere kommunikasjon. Her er et eksempel på utdata:
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
建议
Følgende midlertidige løsning deaktiverer ssh-rsa-vertsnøkkelen for IDPA-relaterte komponenter.
For ACM, Avamar, Avamar Proxy, DPA og Søk:
1. Logg på VM som root. For Avamar og Avamar Proxy må du først logge på som admin og deretter su to root.
2. Endre arbeidskatalogen til /etc/ssh
3. Ta en sikkerhetskopi av den eksisterende /etc/ssh/sshd_config
4. Endre /etc/ssh/sshd_config og tillat bare «HostKey /etc/ssh/ssh_host_ecdsa_key» og «HostKey /etc/ssh/ssh_host_ed25519_key» i oppsettsfilen for alle HostKey-innstillingene:
Figur 1: Et eksempel som bare viser "HostKey /etc/ssh/ssh_host_ecdsa_key" og "HostKey /etc/ssh/ssh_host_ed25519_key" er aktive.
5. Test filsyntaksen /etc/ssh/sshd_config, kommandoen nedenfor må skrive ut "0". Hvis ikke, må du rette opp eventuelle syntaksfeil i filen før du fortsetter:
6. Start sshd-prosessen på nytt:
7. Hvis vertsnøkkelen ssh-rsa er deaktivert, svarer meldingen "finner ingen samsvarende vertsnøkkeltype" når ssh-rsa brukes som vertsnøkkel:
For Data Domain:
For iDRAC:
1. Logg på kommandolinjegrensesnittet
for iDRAC RACADM 2. Se gjennom eksisterende innstilling for SSH-kryptochiffer med følgende kommando:
3. Oppdater innstillingen for SSH-kryptochiffer med følgende kommando:
4. Bekreft innstillingen for SSH-kryptochiffer på nytt:
Her er et eksempel på forventet utdata fra kommandoene ovenfor:
5. Kontroller at ssh-rsa er deaktivert som vertsnøkkel av SSH:
For ACM, Avamar, Avamar Proxy, DPA og Søk:
1. Logg på VM som root. For Avamar og Avamar Proxy må du først logge på som admin og deretter su to root.
2. Endre arbeidskatalogen til /etc/ssh
cd /etc/ssh
3. Ta en sikkerhetskopi av den eksisterende /etc/ssh/sshd_config
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
4. Endre /etc/ssh/sshd_config og tillat bare «HostKey /etc/ssh/ssh_host_ecdsa_key» og «HostKey /etc/ssh/ssh_host_ed25519_key» i oppsettsfilen for alle HostKey-innstillingene:
Merk: Linjen starter med en hashtag (#) som ikke trer i kraft, og systemet anser den bare som kommentarer.
Figur 1: Et eksempel som bare viser "HostKey /etc/ssh/ssh_host_ecdsa_key" og "HostKey /etc/ssh/ssh_host_ed25519_key" er aktive.
5. Test filsyntaksen /etc/ssh/sshd_config, kommandoen nedenfor må skrive ut "0". Hvis ikke, må du rette opp eventuelle syntaksfeil i filen før du fortsetter:
sshd -t |echo $? 0
6. Start sshd-prosessen på nytt:
systemctl restart sshd
7. Hvis vertsnøkkelen ssh-rsa er deaktivert, svarer meldingen "finner ingen samsvarende vertsnøkkeltype" når ssh-rsa brukes som vertsnøkkel:
ssh -o "HostKeyAlgorithms ssh-rsa" localhost Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
For Data Domain:
Merk: Den midlertidige løsningen krever IDPA- eller Data Domain-støtte fordi den krever tilgang til DD OS BASH-modus.
Merk: Endringer som gjøres i sshd_config-filen, lagres ikke etter en omstart eller oppgradering. Disse endringene må brukes på nytt til de nye DD OS-versjonene 8.0 eller 7.10.1.40 er utgitt, noe som gir en permanent løsning. Det er ikke beregnet tid for når disse DD OS-versjonene er integrert i IDPA.
For iDRAC:
1. Logg på kommandolinjegrensesnittet
for iDRAC RACADM 2. Se gjennom eksisterende innstilling for SSH-kryptochiffer med følgende kommando:
get idrac.sshcrypto.ciphers
3. Oppdater innstillingen for SSH-kryptochiffer med følgende kommando:
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
4. Bekreft innstillingen for SSH-kryptochiffer på nytt:
get idrac.sshcrypto.ciphers
Her er et eksempel på forventet utdata fra kommandoene ovenfor:
racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com [Key=idrac.Embedded.1#SSHCrypto.1] Object value modified successfully racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>
5. Kontroller at ssh-rsa er deaktivert som vertsnøkkel av SSH:
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address> Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
其他信息
Den forrige kjente vertsnøkkelen er ikke gyldig:
Når du har deaktivert ssh-rsa-vertsnøkkelen, er den tidligere lagrede RSA-vertsnøkkelen i SSH known_hosts-filen ikke lenger gyldig. En feil kan vises omtrent som dette:
For å oppdatere SSH known_hosts-filen for en bestemt vert, kan følgende kommando brukes:
Et eksempel vil ligne:
SSH til iDRAC med feilmeldingen "finner ingen samsvarende kryptering":
Når du har oppdatert iDRAC-kryptochiffreringene, kan SSH fra ACM eller en annen virtuell maskin til iDRAC få følgende feilmelding. IP-adressen for iDRAC er 10.60.9.156 i dette eksemplet:
Det finnes to alternativer for å løse dette problemet.
Alternativ 1:
Legg til alternativet "-c aes128-gcm@openssh.com" når SSH skal vises i iDRAC.
Eksempel:
Alternativ 2:
Endre /etc/ssh/ssh_config for å inkludere chiffer aes128-gcm@openssh.com og aes256-gcm@openssh.com.
1. Logg på VM som root. For Avamar og Avamar Proxy må du først logge på som admin og deretter su to root.
2. Endre arbeidskatalogen til /etc/ssh.
3. Ta en sikkerhetskopi av den eksisterende /etc/ssh/ssh_config.
4. Endre /etc/ssh/ssh_config for å inkludere chiffer aes128-gcm@openssh.com og aes256-gcm@openssh.com.
Fra:
Figur 2: Standard chifferinnstilling i /etc/ssh/ssh_config
Til:
Figur 3: Ny chifferinnstilling i /etc/ssh/ssh_config
Når /etc/ssh/ssh_config er oppdatert til å inkludere chiffer aes128-gcm@openssh.com og aes256-gcm@openssh.com, skal "finner ingen samsvarende chiffer" løses.
Hvis en Windows-basert SSH-klient mottar feilen "ingen samsvarende kryptering funnet":
Figur 4: Feilen "ingen samsvarende kryptering funnet" mottatt i en Windows-basert SSH-klient
PuTTY-versjonen 0.81 er testet uten problemer.
Figur 5: PuTTY 0.81 kan brukes til å få tilgang til iDRAC fra Windows.
Når du har deaktivert ssh-rsa-vertsnøkkelen, er den tidligere lagrede RSA-vertsnøkkelen i SSH known_hosts-filen ikke lenger gyldig. En feil kan vises omtrent som dette:
idpa-acm:~ # ssh 192.168.100.100 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending RSA key in /root/.ssh/known_hosts:9 You can use following command to remove the offending key: ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts ECDSA host key for 192.168.100.100 has changed and you have requested strict checking. Host key verification failed. idpa-acm:~ #
For å oppdatere SSH known_hosts-filen for en bestemt vert, kan følgende kommando brukes:
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts
Et eksempel vil ligne:
/root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old idpa-acm:~ # ssh 192.168.100.100 The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established. ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Are you sure you want to continue connecting (yes/no)?
SSH til iDRAC med feilmeldingen "finner ingen samsvarende kryptering":
Når du har oppdatert iDRAC-kryptochiffreringene, kan SSH fra ACM eller en annen virtuell maskin til iDRAC få følgende feilmelding. IP-adressen for iDRAC er 10.60.9.156 i dette eksemplet:
idpa-acm:~ # ssh 10.60.9.156 Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com idpa-acm:~ #
Det finnes to alternativer for å løse dette problemet.
Alternativ 1:
Legg til alternativet "-c aes128-gcm@openssh.com" når SSH skal vises i iDRAC.
Eksempel:
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156 Password: racadm>>
Alternativ 2:
Endre /etc/ssh/ssh_config for å inkludere chiffer aes128-gcm@openssh.com og aes256-gcm@openssh.com.
1. Logg på VM som root. For Avamar og Avamar Proxy må du først logge på som admin og deretter su to root.
2. Endre arbeidskatalogen til /etc/ssh.
cd /etc/ssh
3. Ta en sikkerhetskopi av den eksisterende /etc/ssh/ssh_config.
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup
4. Endre /etc/ssh/ssh_config for å inkludere chiffer aes128-gcm@openssh.com og aes256-gcm@openssh.com.
Fra:
Figur 2: Standard chifferinnstilling i /etc/ssh/ssh_config
Til:
Figur 3: Ny chifferinnstilling i /etc/ssh/ssh_config
Når /etc/ssh/ssh_config er oppdatert til å inkludere chiffer aes128-gcm@openssh.com og aes256-gcm@openssh.com, skal "finner ingen samsvarende chiffer" løses.
Hvis en Windows-basert SSH-klient mottar feilen "ingen samsvarende kryptering funnet":
Figur 4: Feilen "ingen samsvarende kryptering funnet" mottatt i en Windows-basert SSH-klient
PuTTY-versjonen 0.81 er testet uten problemer.
Figur 5: PuTTY 0.81 kan brukes til å få tilgang til iDRAC fra Windows.
法律免责声明
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000224873
文章类型: Security KB
上次修改时间: 18 8月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。