Os equipamentos PowerProtect série DP e o relatório IDPA SHA1 informam configuração obsoleta para SSH (QID 38909)
摘要: Relatório de scanners de segurança Configurações criptográficas SSH obsoletas QID 38909 para equipamentos PowerProtect Data Protection Series ou Integration Data Protection Appliance (IDPA). ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
安全性文章类型
Security KB
CVE 标识符
Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909
问题摘要
O algoritmo de criptografia ssh-rsa usado no Secure Shell (SSH) para autenticação foi declarado como obsoleto pelo OpenSSH. A depreciação do ssh-rsa decorre principalmente de preocupações com sua segurança. À medida que o poder de computação aumentou, tornou-se mais viável para os invasores decifrar chaves RSA, especialmente aquelas geradas com comprimentos de chave mais curtos. Isso o torna menos confiável para proteger conexões SSH contra ameaças modernas.
Nota: Este artigo é destinado apenas a equipamentos PowerProtect Data Protection Series ou ao IDPA versão 2.7.6. Para versões anteriores do IDPA, é recomendável fazer upgrade para a versão 2.7.6.
No IDPA versão 2.7.6, os seguintes componentes têm o algoritmo de criptografia ssh-rsa habilitado no SSH por padrão:
- Appliance Configuration Manager (ACM)
- Software de proteção (Avamar)
- Proxy de máquina virtual (VM) (proxy Avamar)
- Armazenamento de proteção (Data Domain)
- Geração de relatórios e lógica analítica (aplicativo e repositório de dados do DPA)
- Pesquisar
- Controlador de acesso remoto integrado da Dell (iDRAC)
Use o seguinte comando para verificar se o sistema é afetado pela vulnerabilidade ssh-rsa:
ssh -o "HostKeyAlgorithms ssh-rsa" localhostou o endereço IP do sistema, se uma verificação remota for necessária:
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>
Se o sistema estiver vulnerável ao ssh-rsa, ele responderá com uma chave RSA. Veja um exemplo de resultado:
The authenticity of host 'localhost (127.0.0.1)' can't be established. RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g. Are you sure you want to continue connecting (yes/no)?
Se o sistema desabilitasse o ssh-rsa, a negociação falharia e não seria possível estabelecer a comunicação. Veja um exemplo de resultado:
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
建议
A solução temporária a seguir desabilita a chave de host ssh-rsa para componentes relacionados ao IDPA.
Para ACM, Avamar, proxy Avamar, DPA e pesquisa:
1. Faça log-in na VM como root. Para proxy Avamar e Avamar, primeiro faça log-in como administrador e, em seguida, su para root.
2. Altere o diretório de trabalho para /etc/ssh
3. Faça uma cópia de backup do /etc/ssh/sshd_config existente
4. Modifique o /etc/ssh/sshd_config e permita apenas "HostKey /etc/ssh/ssh_host_ecdsa_key" e "HostKey /etc/ssh/ssh_host_ed25519_key" no arquivo de configuração para todas as configurações do HostKey:
Figura 1: Um exemplo mostrando apenas "HostKey /etc/ssh/ssh_host_ecdsa_key" e "HostKey /etc/ssh/ssh_host_ed25519_key" estão ativos.
5. Teste a sintaxe do arquivo /etc/ssh/sshd_config, o comando abaixo deve imprimir "0". Se isso não acontecer, corrija quaisquer erros de sintaxe no arquivo antes de continuar:
6. Reinicie o processo sshd:
7. Se a chave de host ssh-rsa estiver desativada, a mensagem "no matching host key type found" responderá quando o ssh-rsa for usado como a chave de host:
Para o Data Domain:
Para iDRAC:
1. Faça login na interface
de linha de comando RACADM do iDRAC 2. Analise a configuração existente de cifras de criptografia SSH com o seguinte comando:
3. Atualize a configuração de cifras de criptografia SSH com o seguinte comando:
4. Verifique novamente a configuração de cifras de criptografia SSH:
Aqui está um exemplo da saída esperada dos comandos acima:
5. Verifique se o ssh-rsa está desativado como a chave de host pelo SSH:
Para ACM, Avamar, proxy Avamar, DPA e pesquisa:
1. Faça log-in na VM como root. Para proxy Avamar e Avamar, primeiro faça log-in como administrador e, em seguida, su para root.
2. Altere o diretório de trabalho para /etc/ssh
cd /etc/ssh
3. Faça uma cópia de backup do /etc/ssh/sshd_config existente
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
4. Modifique o /etc/ssh/sshd_config e permita apenas "HostKey /etc/ssh/ssh_host_ecdsa_key" e "HostKey /etc/ssh/ssh_host_ed25519_key" no arquivo de configuração para todas as configurações do HostKey:
Nota: A linha começa com uma hashtag (#) que não entra em vigor e o sistema a considera apenas como comentários.
Figura 1: Um exemplo mostrando apenas "HostKey /etc/ssh/ssh_host_ecdsa_key" e "HostKey /etc/ssh/ssh_host_ed25519_key" estão ativos.
5. Teste a sintaxe do arquivo /etc/ssh/sshd_config, o comando abaixo deve imprimir "0". Se isso não acontecer, corrija quaisquer erros de sintaxe no arquivo antes de continuar:
sshd -t |echo $? 0
6. Reinicie o processo sshd:
systemctl restart sshd
7. Se a chave de host ssh-rsa estiver desativada, a mensagem "no matching host key type found" responderá quando o ssh-rsa for usado como a chave de host:
ssh -o "HostKeyAlgorithms ssh-rsa" localhost Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
Para o Data Domain:
Nota: A solução temporária requer suporte a IDPA ou Data Domain porque requer acesso ao modo BASH do DD OS.
Nota: As modificações feitas no arquivo sshd_config não serão salvas após uma reinicialização ou upgrade. Essas alterações devem ser reaplicadas até que as novas versões 8.0 ou 7.10.1.40 do DD OS sejam lançadas, o que fornece uma resolução permanente. Não há previsão de quando essas versões do DD OS serão integradas ao IDPA.
Para iDRAC:
1. Faça login na interface
de linha de comando RACADM do iDRAC 2. Analise a configuração existente de cifras de criptografia SSH com o seguinte comando:
get idrac.sshcrypto.ciphers
3. Atualize a configuração de cifras de criptografia SSH com o seguinte comando:
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
4. Verifique novamente a configuração de cifras de criptografia SSH:
get idrac.sshcrypto.ciphers
Aqui está um exemplo da saída esperada dos comandos acima:
racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com [Key=idrac.Embedded.1#SSHCrypto.1] Object value modified successfully racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>
5. Verifique se o ssh-rsa está desativado como a chave de host pelo SSH:
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address> Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
其他信息
A chave de host conhecida anterior não é válida:
Depois de desabilitar a chave de host ssh-rsa, a chave de host RSA salva anteriormente no arquivo de known_hosts SSH não é mais válida. Pode ser exibido um erro semelhante a:
Para atualizar o arquivo de known_hosts SSH para um host específico, o seguinte comando pode ser usado:
Um exemplo seria semelhante a:
SSH para iDRAC com um erro "nenhuma cifra correspondente encontrada":
Depois de atualizar as cifras de criptografia do iDRAC, o SSH do ACM ou de outra VM para o iDRAC poderia receber a seguinte mensagem de erro. O endereço IP do iDRAC é 10.60.9.156 neste exemplo:
Há duas opções para resolver esse problema.
Opção 1:
adicione a opção "-c aes128-gcm@openssh.com" ao SSH ao iDRAC.
Por exemplo:
Opção 2:
modifique o /etc/ssh/ssh_config para incluir as cifras aes128-gcm@openssh.com e aes256-gcm@openssh.com.
1. Faça log-in na VM como root. Para proxy Avamar e Avamar, primeiro faça log-in como administrador e, em seguida, su para root.
2. Altere o diretório de trabalho para /etc/ssh.
3. Faça uma cópia de backup do /etc/ssh/ssh_config existente.
4. Modifique o /etc/ssh/ssh_config para incluir as cifras aes128-gcm@openssh.com e aes256-gcm@openssh.com.
De:
Figura 2: A configuração de cifra padrão em /etc/ssh/ssh_config
To:
Figura 3: Nova configuração de codificação em /etc/ssh/ssh_config
Depois de atualizar o /etc/ssh/ssh_config para incluir as cifras aes128-gcm@openssh.com e aes256-gcm@openssh.com, a mensagem "nenhuma cifra correspondente encontrada" deve ser resolvida.
Caso um client SSH baseado em Windows receba o erro "nenhuma cifra correspondente encontrada":
Figura 4: O erro "nenhuma cifra correspondente encontrada" recebido em um cliente
SSH baseado no Windows O PuTTY versão 0.81 foi testado sem o problema.
Figura 5: O PuTTY 0.81 pode ser usado para acessar o iDRAC a partir do Windows.
Depois de desabilitar a chave de host ssh-rsa, a chave de host RSA salva anteriormente no arquivo de known_hosts SSH não é mais válida. Pode ser exibido um erro semelhante a:
idpa-acm:~ # ssh 192.168.100.100 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending RSA key in /root/.ssh/known_hosts:9 You can use following command to remove the offending key: ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts ECDSA host key for 192.168.100.100 has changed and you have requested strict checking. Host key verification failed. idpa-acm:~ #
Para atualizar o arquivo de known_hosts SSH para um host específico, o seguinte comando pode ser usado:
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts
Um exemplo seria semelhante a:
/root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old idpa-acm:~ # ssh 192.168.100.100 The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established. ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Are you sure you want to continue connecting (yes/no)?
SSH para iDRAC com um erro "nenhuma cifra correspondente encontrada":
Depois de atualizar as cifras de criptografia do iDRAC, o SSH do ACM ou de outra VM para o iDRAC poderia receber a seguinte mensagem de erro. O endereço IP do iDRAC é 10.60.9.156 neste exemplo:
idpa-acm:~ # ssh 10.60.9.156 Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com idpa-acm:~ #
Há duas opções para resolver esse problema.
Opção 1:
adicione a opção "-c aes128-gcm@openssh.com" ao SSH ao iDRAC.
Por exemplo:
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156 Password: racadm>>
Opção 2:
modifique o /etc/ssh/ssh_config para incluir as cifras aes128-gcm@openssh.com e aes256-gcm@openssh.com.
1. Faça log-in na VM como root. Para proxy Avamar e Avamar, primeiro faça log-in como administrador e, em seguida, su para root.
2. Altere o diretório de trabalho para /etc/ssh.
cd /etc/ssh
3. Faça uma cópia de backup do /etc/ssh/ssh_config existente.
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup
4. Modifique o /etc/ssh/ssh_config para incluir as cifras aes128-gcm@openssh.com e aes256-gcm@openssh.com.
De:
Figura 2: A configuração de cifra padrão em /etc/ssh/ssh_config
To:
Figura 3: Nova configuração de codificação em /etc/ssh/ssh_config
Depois de atualizar o /etc/ssh/ssh_config para incluir as cifras aes128-gcm@openssh.com e aes256-gcm@openssh.com, a mensagem "nenhuma cifra correspondente encontrada" deve ser resolvida.
Caso um client SSH baseado em Windows receba o erro "nenhuma cifra correspondente encontrada":
Figura 4: O erro "nenhuma cifra correspondente encontrada" recebido em um cliente
SSH baseado no Windows O PuTTY versão 0.81 foi testado sem o problema.
Figura 5: O PuTTY 0.81 pode ser usado para acessar o iDRAC a partir do Windows.
法律免责声明
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000224873
文章类型: Security KB
上次修改时间: 18 8月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。