Enheter i PowerProtect DP-serien och IDPA-rapport SHA1 inaktuell inställning för SSH (QID 38909)
摘要: Rapport om säkerhetsskannrar Inaktuellt QID 38909 för SSH-kryptografiska inställningar för PowerProtect Data Protection-serien eller Integration Data Protection Appliance (IDPA).
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
安全性文章类型
Security KB
CVE 标识符
Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909
问题摘要
Krypteringsalgoritmen ssh-rsa som används i Secure Shell (SSH) för autentisering har förklarats vara föråldrad av OpenSSH. Utfasningen av ssh-rsa beror främst på oro för dess säkerhet. I takt med att datorkraften har ökat har det blivit mer möjligt för angripare att knäcka RSA-nycklar, särskilt de som genererats med kortare nyckellängder. Detta gör den mindre tillförlitlig för att skydda SSH-anslutningar mot moderna hot.
Obs! Den här artikeln riktar sig endast till enheter i PowerProtect Data Protection Series eller IDPA version 2.7.6. För tidigare versioner av IDPA rekommenderar vi att du uppgraderar till version 2.7.6.
I IDPA version 2.7.6 har följande komponenter ssh-rsa-krypteringsalgoritmen aktiverad i SSH som standard:
- Konfigurationshanterare för enhet (ACM)
- Skyddsprogramvara (Avamar)
- Proxy för virtuell maskin (VM) (Avamar Proxy)
- Skyddslagring (Data Domain)
- Rapportering och analys (DPA-app och datalager)
- Sök
- Integrated Dell Remote Access Controller (iDRAC)
Använd följande kommando för att kontrollera om systemet påverkas av säkerhetsproblemet ssh-rsa:
ssh -o "HostKeyAlgorithms ssh-rsa" localhosteller systemets IP-adress om en fjärrverifiering krävs:
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>
Om systemet är sårbart för ssh-rsa svarar det med en RSA-nyckel. Här är ett exempel på utdata:
The authenticity of host 'localhost (127.0.0.1)' can't be established. RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g. Are you sure you want to continue connecting (yes/no)?
Om systemet inaktiverade ssh-rsa skulle förhandlingen misslyckas och det går inte att upprätta kommunikation. Här är ett exempel på utdata:
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
建议
Följande lösning inaktiverar ssh-rsa-värdnyckeln för IDPA-relaterade komponenter.
För ACM, Avamar, Avamar Proxy, DPA och Search:
1. Logga in på VM som rot. För Avamar och Avamar Proxy loggar du in som administratör först och sedan su till root.
2. Ändra arbetskatalogen till /etc/ssh
3. Gör en säkerhetskopia av den befintliga /etc/ssh/sshd_config
4. Ändra /etc/ssh/sshd_config och tillåt endast "HostKey /etc/ssh/ssh_host_ecdsa_key" och "HostKey /etc/ssh/ssh_host_ed25519_key" i konfigurationsfilen för alla HostKey-inställningar:
Bild 1: Ett exempel som endast visar att "HostKey /etc/ssh/ssh_host_ecdsa_key" och "HostKey /etc/ssh/ssh_host_ed25519_key" är aktiva.
5. Testa filsyntaxen /etc/ssh/sshd_config, kommandot nedan måste skriva ut "0". Om den inte gör det korrigerar du eventuella syntaxfel i filen innan du fortsätter:
6. Starta om sshd-processen:
7. Om värdnyckeln ssh-rsa är inaktiverad svarar meddelandet "ingen matchande värdnyckeltyp hittades" när ssh-rsa används som värdnyckel:
För Data Domain:
För iDRAC:
1. Logga in på iDRAC RACADM-kommandoradsgränssnittet
2. Granska den befintliga SSH-krypteringschifferinställningen med följande kommando:
3. Uppdatera inställningen för SSH-kryptochiffer med följande kommando:
4. Kontrollera SSH-krypteringschifferinställningen igen:
Här är ett exempel på förväntade utdata för ovanstående kommandon:
5. Kontrollera att ssh-rsa är inaktiverat som värdnyckel av SSH:
För ACM, Avamar, Avamar Proxy, DPA och Search:
1. Logga in på VM som rot. För Avamar och Avamar Proxy loggar du in som administratör först och sedan su till root.
2. Ändra arbetskatalogen till /etc/ssh
cd /etc/ssh
3. Gör en säkerhetskopia av den befintliga /etc/ssh/sshd_config
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
4. Ändra /etc/ssh/sshd_config och tillåt endast "HostKey /etc/ssh/ssh_host_ecdsa_key" och "HostKey /etc/ssh/ssh_host_ed25519_key" i konfigurationsfilen för alla HostKey-inställningar:
Obs! Raden börjar med en hashtag (#) som inte träder i kraft och systemet betraktar den endast som kommentarer.
Bild 1: Ett exempel som endast visar att "HostKey /etc/ssh/ssh_host_ecdsa_key" och "HostKey /etc/ssh/ssh_host_ed25519_key" är aktiva.
5. Testa filsyntaxen /etc/ssh/sshd_config, kommandot nedan måste skriva ut "0". Om den inte gör det korrigerar du eventuella syntaxfel i filen innan du fortsätter:
sshd -t |echo $? 0
6. Starta om sshd-processen:
systemctl restart sshd
7. Om värdnyckeln ssh-rsa är inaktiverad svarar meddelandet "ingen matchande värdnyckeltyp hittades" när ssh-rsa används som värdnyckel:
ssh -o "HostKeyAlgorithms ssh-rsa" localhost Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
För Data Domain:
Obs! Lösningen kräver IDPA- eller Data Domain-support eftersom den kräver åtkomst till DD OS BASH-läget.
Obs! Ändringar som görs i sshd_config filen sparas inte efter en omstart eller uppgradering. Dessa ändringar måste tillämpas igen tills de nya DD OS-versionerna 8.0 eller 7.10.1.40 släpps, vilket ger en permanent lösning. Det finns ingen beräknad tid för när dessa DD OS-versioner integreras i IDPA.
För iDRAC:
1. Logga in på iDRAC RACADM-kommandoradsgränssnittet
2. Granska den befintliga SSH-krypteringschifferinställningen med följande kommando:
get idrac.sshcrypto.ciphers
3. Uppdatera inställningen för SSH-kryptochiffer med följande kommando:
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
4. Kontrollera SSH-krypteringschifferinställningen igen:
get idrac.sshcrypto.ciphers
Här är ett exempel på förväntade utdata för ovanstående kommandon:
racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com [Key=idrac.Embedded.1#SSHCrypto.1] Object value modified successfully racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>
5. Kontrollera att ssh-rsa är inaktiverat som värdnyckel av SSH:
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address> Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
其他信息
Den tidigare kända värdnyckeln är inte giltig:
När du har inaktiverat ssh-rsa-värdnyckeln är den tidigare sparade RSA-värdnyckeln i SSH known_hosts-filen inte längre giltig. Ett fel kan dyka upp ungefär så här:
Om du vill uppdatera SSH known_hosts-filen för en specifik värd kan följande kommando användas:
Ett exempel skulle se ut ungefär så här:
SSH till iDRAC med felmeddelandet "inget matchande chiffer hittades":
När du har uppdaterat iDRAC-krypteringschiffren kan följande felmeddelande visas för SSH från ACM eller en annan virtuell dator till iDRAC. IDRAC-IP-adressen är 10.60.9.156 i det här exemplet:
Det finns två alternativ för att lösa problemet.
Alternativ 1:
Lägg till alternativet "-c aes128-gcm@openssh.com" när du använder SSH till iDRAC.
Till exempel:
Alternativ 2:
Ändra /etc/ssh/ssh_config för att inkludera chiffer aes128-gcm@openssh.com och aes256-gcm@openssh.com.
1. Logga in på VM som rot. För Avamar och Avamar Proxy loggar du in som administratör först och sedan su till root.
2. Ändra arbetskatalogen till /etc/ssh.
3. Gör en säkerhetskopia av den befintliga /etc/ssh/ssh_config.
4. Ändra /etc/ssh/ssh_config så att chiffer aes128-gcm@openssh.com och aes256-gcm@openssh.com inkluderas.
Från:
Figur 2: Standardinställningen för chiffer i /etc/ssh/ssh_config
Till:
Figur 3: Ny chifferinställning i /etc/ssh/ssh_config
Efter att ha uppdaterat /etc/ssh/ssh_config för att inkludera chiffer aes128-gcm@openssh.com och aes256-gcm@openssh.com bör "inget matchande chiffer hittades" lösas.
Om en Windows-baserad SSH-klient får felmeddelandet "inget matchande chiffer hittades":
Bild 4: Felet "inget matchande chiffer hittades" som togs emot i en Windows-baserad SSH-klient
PuTTY-versionen 0.81 har testats utan problemet.
Figur 5: PuTTY 0.81 kan användas för att komma åt iDRAC från Windows.
När du har inaktiverat ssh-rsa-värdnyckeln är den tidigare sparade RSA-värdnyckeln i SSH known_hosts-filen inte längre giltig. Ett fel kan dyka upp ungefär så här:
idpa-acm:~ # ssh 192.168.100.100 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending RSA key in /root/.ssh/known_hosts:9 You can use following command to remove the offending key: ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts ECDSA host key for 192.168.100.100 has changed and you have requested strict checking. Host key verification failed. idpa-acm:~ #
Om du vill uppdatera SSH known_hosts-filen för en specifik värd kan följande kommando användas:
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts
Ett exempel skulle se ut ungefär så här:
/root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old idpa-acm:~ # ssh 192.168.100.100 The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established. ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Are you sure you want to continue connecting (yes/no)?
SSH till iDRAC med felmeddelandet "inget matchande chiffer hittades":
När du har uppdaterat iDRAC-krypteringschiffren kan följande felmeddelande visas för SSH från ACM eller en annan virtuell dator till iDRAC. IDRAC-IP-adressen är 10.60.9.156 i det här exemplet:
idpa-acm:~ # ssh 10.60.9.156 Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com idpa-acm:~ #
Det finns två alternativ för att lösa problemet.
Alternativ 1:
Lägg till alternativet "-c aes128-gcm@openssh.com" när du använder SSH till iDRAC.
Till exempel:
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156 Password: racadm>>
Alternativ 2:
Ändra /etc/ssh/ssh_config för att inkludera chiffer aes128-gcm@openssh.com och aes256-gcm@openssh.com.
1. Logga in på VM som rot. För Avamar och Avamar Proxy loggar du in som administratör först och sedan su till root.
2. Ändra arbetskatalogen till /etc/ssh.
cd /etc/ssh
3. Gör en säkerhetskopia av den befintliga /etc/ssh/ssh_config.
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup
4. Ändra /etc/ssh/ssh_config så att chiffer aes128-gcm@openssh.com och aes256-gcm@openssh.com inkluderas.
Från:
Figur 2: Standardinställningen för chiffer i /etc/ssh/ssh_config
Till:
Figur 3: Ny chifferinställning i /etc/ssh/ssh_config
Efter att ha uppdaterat /etc/ssh/ssh_config för att inkludera chiffer aes128-gcm@openssh.com och aes256-gcm@openssh.com bör "inget matchande chiffer hittades" lösas.
Om en Windows-baserad SSH-klient får felmeddelandet "inget matchande chiffer hittades":
Bild 4: Felet "inget matchande chiffer hittades" som togs emot i en Windows-baserad SSH-klient
PuTTY-versionen 0.81 har testats utan problemet.
Figur 5: PuTTY 0.81 kan användas för att komma åt iDRAC från Windows.
法律免责声明
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000224873
文章类型: Security KB
上次修改时间: 18 8月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。