Urządzenia PowerProtect z serii DP i IDPA zgłaszają przestarzałe ustawienie SHA1 dla SSH (QID 38909)
摘要: Skanery zabezpieczeń zgłaszają przestarzałe ustawienia kryptograficzne SSH QID 38909 dla urządzeń PowerProtect z serii Data Protection lub Integration Data Protection Appliance (IDPA).
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
安全性文章类型
Security KB
CVE 标识符
Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909
问题摘要
Algorytm szyfrowania ssh-rsa używany w protokole Secure Shell (SSH) do uwierzytelniania został uznany przez OpenSSH za przestarzały. Wycofanie ssh-rsa wynika przede wszystkim z obaw o jego bezpieczeństwo. Wraz ze wzrostem mocy obliczeniowej możliwe stało się złamanie kluczy RSA, szczególnie tych wygenerowanych z krótszymi kluczami. To sprawia, że jest mniej niezawodny w zabezpieczaniu połączeń SSH przed nowoczesnymi zagrożeniami.
Uwaga: Ten artykuł jest przeznaczony tylko dla urządzeń PowerProtect z serii Data Protection lub IDPA w wersji 2.7.6. W przypadku wcześniejszych wersji IDPA zalecana jest aktualizacja do wersji 2.7.6.
W IDPA w wersji 2.7.6 następujące składniki mają domyślnie włączony algorytm szyfrowania ssh-rsa w SSH:
- Appliance Configuration Manager (ACM)
- Protection Software (Avamar)
- Serwer proxy maszyny wirtualnej (VM) (Avamar Proxy)
- Protection Storage (Data Domain)
- Raportowanie i analizy (aplikacja DPA i magazyn danych)
- Wyszukiwanie
- Integrated Dell Remote Access Controller (iDRAC)
Użyj następującego polecenia, aby sprawdzić, czy system jest zagrożony luką w zabezpieczeniach ssh-rsa:
ssh -o "HostKeyAlgorithms ssh-rsa" localhostlub adres IP systemu, jeśli wymagana jest zdalna weryfikacja:
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>
Jeśli system jest podatny na ssh-rsa, odpowiada kluczem RSA. Oto przykładowe dane wyjściowe:
The authenticity of host 'localhost (127.0.0.1)' can't be established. RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g. Are you sure you want to continue connecting (yes/no)?
Jeśli system wyłączy ssh-rsa, negocjacje zakończą się niepowodzeniem i nie będą mogły nawiązać komunikacji. Oto przykładowe dane wyjściowe:
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
建议
Poniższe obejście powoduje wyłączenie klucza hosta ssh-rsa dla komponentów związanych z IDPA.
W przypadku ACM, Avamar, Avamar Proxy, DPA i Search:
1. Zaloguj się do maszyny wirtualnej jako root. W przypadku Avamar i Avamar Proxy najpierw zaloguj się jako administrator, a następnie su do konta root.
2. Zmień katalog roboczy na /etc/ssh
3. Utwórz kopię zapasową istniejącego pliku /etc/ssh/sshd_config
4. Zmodyfikuj /etc/ssh/sshd_config i zezwól tylko na "HostKey /etc/ssh/ssh_host_ecdsa_key" i "HostKey /etc/ssh/ssh_host_ed25519_key" w pliku konfiguracyjnym dla wszystkich ustawień klucza hosta:
Rysunek 1. Przykład pokazujący, że aktywne są tylko "HostKey /etc/ssh/ssh_host_ecdsa_key" i "HostKey /etc/ssh/ssh_host_ed25519_key".
5. Przetestuj składnię pliku /etc/ssh/sshd_config, poniższe polecenie musi wypisać "0". Jeśli nie, przed kontynuowaniem popraw wszelkie błędy składniowe w pliku:
6. Uruchom ponownie proces sshd:
7. Jeśli klucz hosta ssh-rsa jest wyłączony, wówczas w przypadku użycia ssh-rsa jako klucza hosta zostanie wyświetlony komunikat "nie znaleziono pasującego typu klucza hosta":
W przypadku Data Domain:
W przypadku kontrolera iDRAC:
1. Zaloguj się do interfejsu
wiersza polecenia RACADM kontrolera iDRAC 2. Przejrzyj istniejące ustawienie szyfrów kryptograficznych SSH za pomocą następującego polecenia:
3. Zaktualizuj ustawienie szyfrów kryptograficznych SSH przy użyciu następującego polecenia:
4. Ponownie sprawdź ustawienie szyfrów kryptograficznych SSH:
Oto przykład oczekiwanych danych wyjściowych powyższych poleceń:
5. Sprawdź, czy ssh-rsa jest wyłączony jako klucz hosta przez SSH:
W przypadku ACM, Avamar, Avamar Proxy, DPA i Search:
1. Zaloguj się do maszyny wirtualnej jako root. W przypadku Avamar i Avamar Proxy najpierw zaloguj się jako administrator, a następnie su do konta root.
2. Zmień katalog roboczy na /etc/ssh
cd /etc/ssh
3. Utwórz kopię zapasową istniejącego pliku /etc/ssh/sshd_config
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
4. Zmodyfikuj /etc/ssh/sshd_config i zezwól tylko na "HostKey /etc/ssh/ssh_host_ecdsa_key" i "HostKey /etc/ssh/ssh_host_ed25519_key" w pliku konfiguracyjnym dla wszystkich ustawień klucza hosta:
Uwaga: Wiersz zaczyna się od hashtagu (#), który nie działa i system traktuje go tylko jako komentarz.
Rysunek 1. Przykład pokazujący, że aktywne są tylko "HostKey /etc/ssh/ssh_host_ecdsa_key" i "HostKey /etc/ssh/ssh_host_ed25519_key".
5. Przetestuj składnię pliku /etc/ssh/sshd_config, poniższe polecenie musi wypisać "0". Jeśli nie, przed kontynuowaniem popraw wszelkie błędy składniowe w pliku:
sshd -t |echo $? 0
6. Uruchom ponownie proces sshd:
systemctl restart sshd
7. Jeśli klucz hosta ssh-rsa jest wyłączony, wówczas w przypadku użycia ssh-rsa jako klucza hosta zostanie wyświetlony komunikat "nie znaleziono pasującego typu klucza hosta":
ssh -o "HostKeyAlgorithms ssh-rsa" localhost Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
W przypadku Data Domain:
Uwaga: Obejście wymaga pomocy technicznej IDPA lub Data Domain, ponieważ wymaga dostępu do trybu powłoki DD OS Bash.
Uwaga: Modyfikacje wprowadzone w pliku sshd_config nie zostaną zapisane po ponownym uruchomieniu lub uaktualnieniu. Zmiany te należy zastosować ponownie do momentu wydania nowego systemu operacyjnego DD w wersji 8.0 lub 7.10.1.40, co zapewnia trwałe rozwiązanie. Nie ma szacowanego czasu, po którym te wersje systemu operacyjnego DD zostaną zintegrowane z IDPA.
W przypadku kontrolera iDRAC:
1. Zaloguj się do interfejsu
wiersza polecenia RACADM kontrolera iDRAC 2. Przejrzyj istniejące ustawienie szyfrów kryptograficznych SSH za pomocą następującego polecenia:
get idrac.sshcrypto.ciphers
3. Zaktualizuj ustawienie szyfrów kryptograficznych SSH przy użyciu następującego polecenia:
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
4. Ponownie sprawdź ustawienie szyfrów kryptograficznych SSH:
get idrac.sshcrypto.ciphers
Oto przykład oczekiwanych danych wyjściowych powyższych poleceń:
racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com [Key=idrac.Embedded.1#SSHCrypto.1] Object value modified successfully racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>
5. Sprawdź, czy ssh-rsa jest wyłączony jako klucz hosta przez SSH:
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address> Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
其他信息
Poprzedni znany klucz hosta jest nieprawidłowy:
Po wyłączeniu klucza hosta ssh-rsa poprzednio zapisany klucz hosta RSA w pliku known_hosts SSH nie jest już prawidłowy. Może pojawić się błąd podobny do:
Aby zaktualizować plik known_hosts SSH dla określonego hosta, można użyć następującego polecenia:
Przykład może być podobny do:
Za pomocą protokołu SSH połącz się z kontrolerem iDRAC z błędem "no matching cipher found":
Po zaktualizowaniu szyfrów kryptograficznych kontrolera iDRAC za pomocą protokołu SSH z ACM lub innej maszyny wirtualnej do kontrolera iDRAC może zostać wyświetlony następujący komunikat o błędzie. W tym przykładzie adres IP kontrolera iDRAC to 10.60.9.156:
Istnieją dwie opcje rozwiązania tego problemu:
Opcja 1:
dodano opcję "-c aes128-gcm@openssh.com" podczas połączenia SSH z kontrolerem iDRAC.
Na przykład:
Opcja 2:
Zmodyfikuj plik /etc/ssh/ssh_config, aby zawierał szyfry aes128-gcm@openssh.com i aes256-gcm@openssh.com.
1. Zaloguj się do maszyny wirtualnej jako root. W przypadku Avamar i Avamar Proxy najpierw zaloguj się jako administrator, a następnie su do konta root.
2. Zmień katalog roboczy na /etc/ssh.
3. Utwórz kopię zapasową istniejącego pliku /etc/ssh/ssh_config.
4. Zmodyfikuj plik /etc/ssh/ssh_config tak, aby zawierał szyfry aes128-gcm@openssh.com i aes256-gcm@openssh.com.
Od:
Rysunek 2: Domyślne ustawienie szyfrowania w /etc/ssh/ssh_config
Do:
Rysunek 3: Nowe ustawienie szyfrowania w /etc/ssh/ssh_config
Po zaktualizowaniu pliku /etc/ssh/ssh_config w celu uwzględnienia szyfrów aes128-gcm@openssh.com i aes256-gcm@openssh.com, błąd "nie znaleziono pasującego szyfru" powinien zostać rozwiązany.
W przypadku, gdy klient SSH oparty na systemie Windows otrzyma błąd "nie znaleziono pasującego szyfru":
Rysunek 4: Błąd "nie znaleziono pasującego szyfru" otrzymany w kliencie
SSH opartym na systemie Windows Przetestowano PuTTY w wersji 0.81 bez problemu.
Rysunek 5: Za pomocą programu PuTTY 0.81 można uzyskać dostęp do kontrolera iDRAC z systemu Windows.
Po wyłączeniu klucza hosta ssh-rsa poprzednio zapisany klucz hosta RSA w pliku known_hosts SSH nie jest już prawidłowy. Może pojawić się błąd podobny do:
idpa-acm:~ # ssh 192.168.100.100 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending RSA key in /root/.ssh/known_hosts:9 You can use following command to remove the offending key: ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts ECDSA host key for 192.168.100.100 has changed and you have requested strict checking. Host key verification failed. idpa-acm:~ #
Aby zaktualizować plik known_hosts SSH dla określonego hosta, można użyć następującego polecenia:
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts
Przykład może być podobny do:
/root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old idpa-acm:~ # ssh 192.168.100.100 The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established. ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Are you sure you want to continue connecting (yes/no)?
Za pomocą protokołu SSH połącz się z kontrolerem iDRAC z błędem "no matching cipher found":
Po zaktualizowaniu szyfrów kryptograficznych kontrolera iDRAC za pomocą protokołu SSH z ACM lub innej maszyny wirtualnej do kontrolera iDRAC może zostać wyświetlony następujący komunikat o błędzie. W tym przykładzie adres IP kontrolera iDRAC to 10.60.9.156:
idpa-acm:~ # ssh 10.60.9.156 Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com idpa-acm:~ #
Istnieją dwie opcje rozwiązania tego problemu:
Opcja 1:
dodano opcję "-c aes128-gcm@openssh.com" podczas połączenia SSH z kontrolerem iDRAC.
Na przykład:
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156 Password: racadm>>
Opcja 2:
Zmodyfikuj plik /etc/ssh/ssh_config, aby zawierał szyfry aes128-gcm@openssh.com i aes256-gcm@openssh.com.
1. Zaloguj się do maszyny wirtualnej jako root. W przypadku Avamar i Avamar Proxy najpierw zaloguj się jako administrator, a następnie su do konta root.
2. Zmień katalog roboczy na /etc/ssh.
cd /etc/ssh
3. Utwórz kopię zapasową istniejącego pliku /etc/ssh/ssh_config.
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup
4. Zmodyfikuj plik /etc/ssh/ssh_config tak, aby zawierał szyfry aes128-gcm@openssh.com i aes256-gcm@openssh.com.
Od:
Rysunek 2: Domyślne ustawienie szyfrowania w /etc/ssh/ssh_config
Do:
Rysunek 3: Nowe ustawienie szyfrowania w /etc/ssh/ssh_config
Po zaktualizowaniu pliku /etc/ssh/ssh_config w celu uwzględnienia szyfrów aes128-gcm@openssh.com i aes256-gcm@openssh.com, błąd "nie znaleziono pasującego szyfru" powinien zostać rozwiązany.
W przypadku, gdy klient SSH oparty na systemie Windows otrzyma błąd "nie znaleziono pasującego szyfru":
Rysunek 4: Błąd "nie znaleziono pasującego szyfru" otrzymany w kliencie
SSH opartym na systemie Windows Przetestowano PuTTY w wersji 0.81 bez problemu.
Rysunek 5: Za pomocą programu PuTTY 0.81 można uzyskać dostęp do kontrolera iDRAC z systemu Windows.
法律免责声明
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000224873
文章类型: Security KB
上次修改时间: 18 8月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。