Устройства PowerProtect серии DP и IDPA сообщают об устаревшей настройке SHA1 для SSH (QID 38909)
摘要: Сканеры безопасности сообщают об исключенных параметрах шифрования SSH QID 38909 для устройств серии PowerProtect Data Protection или Integration Data Protection Appliance (IDPA).
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
安全性文章类型
Security KB
CVE 标识符
Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909
问题摘要
Алгоритм шифрования ssh-rsa, используемый в Secure Shell (SSH) для аутентификации, объявлен OpenSSH устаревшим. Прекращение поддержки ssh-rsa в первую очередь связано с опасениями по поводу его безопасности. По мере увеличения вычислительной мощности злоумышленникам стало легче взломать ключи RSA, особенно те, которые генерируются с более короткой длиной ключей. Это снижает надежность защиты SSH-соединений от современных угроз.
Примечание.: Эта статья предназначена только для устройств PowerProtect Data Protection Series или IDPA версии 2.7.6. Для более ранних версий IDPA рекомендуется выполнить обновление до версии 2.7.6.
В IDPA версии 2.7.6 в следующих компонентах алгоритм шифрования SSH-RSA включен в SSH по умолчанию:
- Appliance Configuration Manager (ACM)
- Программное обеспечение для защиты (Avamar)
- Прокси-сервер виртуальной машины (ВМ) (прокси-сервер Avamar)
- Платформа защиты данных (Data Domain)
- Отчетность и аналитика (приложение и хранилище данных DPA)
- Поиск
- Интегрированный контроллер удаленного доступа Dell (iDRAC)
Используйте следующую команду, чтобы проверить, подвержена ли система уязвимости ssh-rsa:
ssh -o "HostKeyAlgorithms ssh-rsa" localhostили IP-адрес системы, если требуется удаленная проверка:
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>
Если система уязвима для ssh-rsa, она отвечает ключом RSA. Вот пример выходных данных:
The authenticity of host 'localhost (127.0.0.1)' can't be established. RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g. Are you sure you want to continue connecting (yes/no)?
Если система отключала ssh-rsa, согласование завершалось сбоем и установить связь было невозможно. Вот пример выходных данных:
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
建议
Следующее временное решение отключает ключ хоста ssh-rsa для компонентов, связанных с IDPA.
Для ACM, Avamar, Avamar Proxy, DPA и Search:
1. Войдите в виртуальную машину как пользователь root. Для Avamar и прокси-сервера Avamar сначала войдите в систему как admin, а затем su в root.
2. Измените рабочий каталог на /etc/ssh
3. Создайте резервную копию существующего файла /etc/ssh/sshd_config
4. Измените /etc/ssh/sshd_config и разрешите только "HostKey /etc/ssh/ssh_host_ecdsa_key" и "HostKey /etc/ssh/ssh_host_ed25519_key" в конфигурационном файле для всех настроек HostKey:
Рис. 1. Пример, показывающий, что активны только "HostKey /etc/ssh/ssh_host_ecdsa_key" и "HostKey /etc/ssh/ssh_host_ed25519_key".
5. Проверьте синтаксис файла /etc/ssh/sshd_config, приведенная ниже команда должна вывести «0». Если это не так, исправьте все синтаксические ошибки в файле, прежде чем продолжить:
6. Перезапустите процесс sshd.
7. Если ключ хоста ssh-rsa отключен, то при использовании ssh-rsa в качестве ключа хоста возвращается сообщение «Не найден соответствующий тип ключа хоста»:
Для Data Domain:
Для iDRAC:
1. Войдите в интерфейс
командной строки iDRAC RACADM 2. Просмотрите существующую настройку криптографических шифров SSH с помощью следующей команды:
3. Обновите параметр шифров шифрования SSH с помощью следующей команды:
4. Снова проверьте настройку криптографических шифров SSH:
Ниже приведен пример ожидаемого вывода указанных выше команд:
5. Убедитесь, что ssh-rsa отключен в качестве ключа хоста по SSH:
Для ACM, Avamar, Avamar Proxy, DPA и Search:
1. Войдите в виртуальную машину как пользователь root. Для Avamar и прокси-сервера Avamar сначала войдите в систему как admin, а затем su в root.
2. Измените рабочий каталог на /etc/ssh
cd /etc/ssh
3. Создайте резервную копию существующего файла /etc/ssh/sshd_config
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
4. Измените /etc/ssh/sshd_config и разрешите только "HostKey /etc/ssh/ssh_host_ecdsa_key" и "HostKey /etc/ssh/ssh_host_ed25519_key" в конфигурационном файле для всех настроек HostKey:
Примечание.: Строка начинается с хэштега (#), который не вступает в силу, и система считает его только комментариями.
Рис. 1. Пример, показывающий, что активны только "HostKey /etc/ssh/ssh_host_ecdsa_key" и "HostKey /etc/ssh/ssh_host_ed25519_key".
5. Проверьте синтаксис файла /etc/ssh/sshd_config, приведенная ниже команда должна вывести «0». Если это не так, исправьте все синтаксические ошибки в файле, прежде чем продолжить:
sshd -t |echo $? 0
6. Перезапустите процесс sshd.
systemctl restart sshd
7. Если ключ хоста ssh-rsa отключен, то при использовании ssh-rsa в качестве ключа хоста возвращается сообщение «Не найден соответствующий тип ключа хоста»:
ssh -o "HostKeyAlgorithms ssh-rsa" localhost Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
Для Data Domain:
Примечание.: Для временного решения проблемы требуется поддержка IDPA или Data Domain, так как требуется доступ к режиму DD OS BASH.
Примечание.: Изменения, внесенные в файл sshd_config, не сохранятся после перезагрузки или модернизации. Эти изменения необходимо применять повторно до тех пор, пока не будут выпущены новые версии DD OS 8.0 или 7.10.1.40, что обеспечит окончательное решение. Расчетное время интеграции этих версий DD OS в IDPA не определено.
Для iDRAC:
1. Войдите в интерфейс
командной строки iDRAC RACADM 2. Просмотрите существующую настройку криптографических шифров SSH с помощью следующей команды:
get idrac.sshcrypto.ciphers
3. Обновите параметр шифров шифрования SSH с помощью следующей команды:
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
4. Снова проверьте настройку криптографических шифров SSH:
get idrac.sshcrypto.ciphers
Ниже приведен пример ожидаемого вывода указанных выше команд:
racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com [Key=idrac.Embedded.1#SSHCrypto.1] Object value modified successfully racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>
5. Убедитесь, что ssh-rsa отключен в качестве ключа хоста по SSH:
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address> Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
其他信息
Предыдущий известный ключ хоста недействителен:
После отключения ключа хоста ssh-rsa сохраненный ранее ключ хоста RSA в файле SSH known_hosts больше не действителен. Может появиться ошибка, подобная следующей:
Чтобы обновить файл known_hosts SSH для определенного хоста, можно использовать следующую команду:
Пример может быть похож на следующий:
Подключитесь через SSH к iDRAC с ошибкой «Не найден соответствующий шифр»:
После обновления криптографических шифров iDRAC SSH из ACM или другой виртуальной машины в iDRAC может получить следующее сообщение об ошибке: В данном примере IP-адрес iDRAC — 10.60.9.156.
Существует два способа решения этой проблемы.
Вариант 1.
Добавьте параметр «-c aes128-gcm@openssh.com» при подключении по SSH к iDRAC.
Пример.
Вариант 2:
Измените /etc/ssh/ssh_config, включив в него шифры aes128-gcm@openssh.com и aes256-gcm@openssh.com.
1. Войдите в виртуальную машину как пользователь root. Для Avamar и прокси-сервера Avamar сначала войдите в систему как admin, а затем su в root.
2. Измените рабочий каталог на /etc/ssh.
3. Создайте резервную копию существующего файла /etc/ssh/ssh_config.
4. Измените /etc/ssh/ssh_config, включив в него шифры aes128-gcm@openssh.com и aes256-gcm@openssh.com.
Откуда:
Рис. 2: Настройка шифра по умолчанию в /etc/ssh/ssh_config
Кому:
Рис. 3: Новая настройка шифра в /etc/ssh/ssh_config
После обновления файла /etc/ssh/ssh_config для включения в него шифров aes128-gcm@openssh.com и aes256-gcm@openssh.com, должно быть решено сообщение "no matched cipher found".
В случае, если клиент SSH на базе Windows получает сообщение об ошибке «Не найден соответствующий шифр», см
. рис. 4. В клиенте
SSH на базе Windows получена ошибка «Совпадающий шифр не найден» Устройство PuTTY версии 0.81 было протестировано без проблем.
Рисунок 5. PuTTY 0.81 можно использовать для доступа к iDRAC из Windows.
После отключения ключа хоста ssh-rsa сохраненный ранее ключ хоста RSA в файле SSH known_hosts больше не действителен. Может появиться ошибка, подобная следующей:
idpa-acm:~ # ssh 192.168.100.100 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending RSA key in /root/.ssh/known_hosts:9 You can use following command to remove the offending key: ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts ECDSA host key for 192.168.100.100 has changed and you have requested strict checking. Host key verification failed. idpa-acm:~ #
Чтобы обновить файл known_hosts SSH для определенного хоста, можно использовать следующую команду:
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts
Пример может быть похож на следующий:
/root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old idpa-acm:~ # ssh 192.168.100.100 The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established. ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Are you sure you want to continue connecting (yes/no)?
Подключитесь через SSH к iDRAC с ошибкой «Не найден соответствующий шифр»:
После обновления криптографических шифров iDRAC SSH из ACM или другой виртуальной машины в iDRAC может получить следующее сообщение об ошибке: В данном примере IP-адрес iDRAC — 10.60.9.156.
idpa-acm:~ # ssh 10.60.9.156 Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com idpa-acm:~ #
Существует два способа решения этой проблемы.
Вариант 1.
Добавьте параметр «-c aes128-gcm@openssh.com» при подключении по SSH к iDRAC.
Пример.
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156 Password: racadm>>
Вариант 2:
Измените /etc/ssh/ssh_config, включив в него шифры aes128-gcm@openssh.com и aes256-gcm@openssh.com.
1. Войдите в виртуальную машину как пользователь root. Для Avamar и прокси-сервера Avamar сначала войдите в систему как admin, а затем su в root.
2. Измените рабочий каталог на /etc/ssh.
cd /etc/ssh
3. Создайте резервную копию существующего файла /etc/ssh/ssh_config.
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup
4. Измените /etc/ssh/ssh_config, включив в него шифры aes128-gcm@openssh.com и aes256-gcm@openssh.com.
Откуда:
Рис. 2: Настройка шифра по умолчанию в /etc/ssh/ssh_config
Кому:
Рис. 3: Новая настройка шифра в /etc/ssh/ssh_config
После обновления файла /etc/ssh/ssh_config для включения в него шифров aes128-gcm@openssh.com и aes256-gcm@openssh.com, должно быть решено сообщение "no matched cipher found".
В случае, если клиент SSH на базе Windows получает сообщение об ошибке «Не найден соответствующий шифр», см
. рис. 4. В клиенте
SSH на базе Windows получена ошибка «Совпадающий шифр не найден» Устройство PuTTY версии 0.81 было протестировано без проблем.
Рисунок 5. PuTTY 0.81 можно использовать для доступа к iDRAC из Windows.
法律免责声明
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000224873
文章类型: Security KB
上次修改时间: 18 8月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。