PowerProtect DP Serisi Cihazlar ve IDPA, SSH için SHA1 kullanım dışı ayarını bildiriyor (QID 38909)
摘要: Güvenlik tarayıcıları, PowerProtect Data Protection Series Cihazları veya Entegrasyon Veri Koruma Cihazı (IDPA) için SSH Şifreleme Ayarları QID 38909 Kullanımdan Kaldırıldı raporu
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
安全性文章类型
Security KB
CVE 标识符
Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909
问题摘要
Kimlik doğrulama için Secure Shell'de (SSH) kullanılan ssh-rsa şifreleme algoritması, OpenSSH tarafından kullanım dışı olarak bildirildi. SSH-RSA'nın kullanımdan kaldırılması, öncelikle güvenliğiyle ilgili endişelerden kaynaklanmaktadır. Bilgi işlem gücü arttıkça, saldırganların RSA anahtarlarını, özellikle de daha kısa anahtar uzunluklarıyla oluşturulanları kırması daha uygun hale geldi. Bu, SSH bağlantılarını modern tehditlere karşı güvence altına almak için daha az güvenilir hale getirir.
Not: Bu makale yalnızca PowerProtect Data Protection Series Cihazları veya IDPA sürüm 2.7.6'yı hedeflemektedir. Daha eski IDPA sürümleri için 2.7.6 sürümüne yükseltme yapılması önerilir.
IDPA sürüm 2.7.6'da, aşağıdaki bileşenlerde SSH'de varsayılan olarak ssh-rsa şifreleme algoritması etkinleştirilmiştir:
- Cihaz Yapılandırma Yöneticisi (ACM)
- Koruma Yazılımı (Avamar)
- Sanal Makine (VM) Proxy'si (Avamar Proxy)
- Koruma Depolaması (Data Domain)
- Raporlama ve Analiz (DPA Uygulaması ve Veri Deposu)
- Arama
- Entegre Dell Uzaktan Erişim Denetleyicisi (iDRAC)
Sistemin ssh-rsa güvenlik açığından etkilenip etkilenmediğini doğrulamak için aşağıdaki komutu kullanın:
ssh -o "HostKeyAlgorithms ssh-rsa" localhostveya uzaktan doğrulama gerekiyorsa sistem IP adresi:
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>
Sistem ssh-rsa'dan etkilenmezse bir RSA anahtarıyla yanıt verir. Aşağıda örnek bir çıktı verilmiştir:
The authenticity of host 'localhost (127.0.0.1)' can't be established. RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g. Are you sure you want to continue connecting (yes/no)?
Sistem ssh-rsa'yı devre dışı bırakırsa, anlaşma başarısız olur ve iletişim kuramaz. Aşağıda örnek bir çıktı verilmiştir:
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
建议
Aşağıdaki geçici çözüm, IDPA ile ilgili bileşenler için ssh-rsa ana bilgisayar anahtarını devre dışı bırakır.
ACM, Avamar, Avamar Proxy, DPA ve Arama için:
1. VM'de kök olarak oturum açın. Avamar ve Avamar Proxy için önce admin olarak oturum açın, ardından root olarak oturum açın.
2. Çalışma dizinini /etc/ssh olarak değiştirin
3. Mevcut /etc/ssh/sshd_config yedek kopyasını oluşturun
4. /etc/ssh/sshd_config öğesini değiştirin ve tüm Ana Bilgisayar Anahtarı ayarlarının yapılandırma dosyasında yalnızca "HostKey /etc/ssh/ssh_host_ecdsa_key" ve "HostKey /etc/ssh/ssh_host_ed25519_key" öğelerine izin verin:
Şekil 1: Yalnızca "HostKey /etc/ssh/ssh_host_ecdsa_key" ve "HostKey /etc/ssh/ssh_host_ed25519_key" gösteren bir örnek etkindir.
5. /etc/ssh/sshd_config dosyasının sözdizimini test edin; aşağıdaki komut "0" yazdırmalıdır. Aksi takdirde, devam etmeden önce dosyadaki söz dizimi hatalarını düzeltin:
6. SSHD işlemini yeniden başlatın:
7. Ana bilgisayar anahtarı ssh-rsa devre dışı bırakılırsa, ana bilgisayar anahtarı olarak ssh-rsa kullanıldığında "eşleşen ana bilgisayar anahtarı türü bulunamadı" mesajı gösterilir:
Data Domain için:
iDRAC için:
1. iDRAC RACADM komut satırı arayüzünde
oturum açın 2. Aşağıdaki komutu kullanarak mevcut SSH şifreleme şifreleri ayarını gözden geçirin:
3. SSH şifreleme şifreleri ayarını aşağıdaki komutla güncelleyin:
4. SSH şifreleme şifreleri ayarını tekrar doğrulayın:
Yukarıdaki komutların beklenen çıktısına bir örnek aşağıda verilmiştir:
5. SSH-rsa'nın SSH tarafından ana bilgisayar anahtarı olarak devre dışı bırakıldığını doğrulayın:
ACM, Avamar, Avamar Proxy, DPA ve Arama için:
1. VM'de kök olarak oturum açın. Avamar ve Avamar Proxy için önce admin olarak oturum açın, ardından root olarak oturum açın.
2. Çalışma dizinini /etc/ssh olarak değiştirin
cd /etc/ssh
3. Mevcut /etc/ssh/sshd_config yedek kopyasını oluşturun
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
4. /etc/ssh/sshd_config öğesini değiştirin ve tüm Ana Bilgisayar Anahtarı ayarlarının yapılandırma dosyasında yalnızca "HostKey /etc/ssh/ssh_host_ecdsa_key" ve "HostKey /etc/ssh/ssh_host_ed25519_key" öğelerine izin verin:
Not: Satır, etkili olmayan bir hashtag (#) ile başlar ve sistem bunu yalnızca yorum olarak kabul eder.
Şekil 1: Yalnızca "HostKey /etc/ssh/ssh_host_ecdsa_key" ve "HostKey /etc/ssh/ssh_host_ed25519_key" gösteren bir örnek etkindir.
5. /etc/ssh/sshd_config dosyasının sözdizimini test edin; aşağıdaki komut "0" yazdırmalıdır. Aksi takdirde, devam etmeden önce dosyadaki söz dizimi hatalarını düzeltin:
sshd -t |echo $? 0
6. SSHD işlemini yeniden başlatın:
systemctl restart sshd
7. Ana bilgisayar anahtarı ssh-rsa devre dışı bırakılırsa, ana bilgisayar anahtarı olarak ssh-rsa kullanıldığında "eşleşen ana bilgisayar anahtarı türü bulunamadı" mesajı gösterilir:
ssh -o "HostKeyAlgorithms ssh-rsa" localhost Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
Data Domain için:
Not: Geçici çözüm, DD OS BASH moduna erişim gerektirdiğinden IDPA veya Data Domain Desteği gerektirir.
Not: sshd_config dosyasında yapılan değişiklikler, yeniden başlatma veya yükseltme sonrasında kaydedilmez. Bu değişiklikler, kalıcı bir çözüm sağlayan yeni DD OS 8.0 veya 7.10.1.40 sürümleri yayınlanana kadar yeniden uygulanmalıdır. Bu DD OS sürümlerinin IDPA'ya ne zaman entegre edileceğine dair tahmini bir zaman yoktur.
iDRAC için:
1. iDRAC RACADM komut satırı arayüzünde
oturum açın 2. Aşağıdaki komutu kullanarak mevcut SSH şifreleme şifreleri ayarını gözden geçirin:
get idrac.sshcrypto.ciphers
3. SSH şifreleme şifreleri ayarını aşağıdaki komutla güncelleyin:
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
4. SSH şifreleme şifreleri ayarını tekrar doğrulayın:
get idrac.sshcrypto.ciphers
Yukarıdaki komutların beklenen çıktısına bir örnek aşağıda verilmiştir:
racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com [Key=idrac.Embedded.1#SSHCrypto.1] Object value modified successfully racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>
5. SSH-rsa'nın SSH tarafından ana bilgisayar anahtarı olarak devre dışı bırakıldığını doğrulayın:
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address> Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
其他信息
Önceki bilinen ana bilgisayar anahtarı geçerli değil:
SSH-RSA ana bilgisayar anahtarını devre dışı bıraktıktan sonra, SSH known_hosts dosyasına önceden kaydedilmiş RSA ana bilgisayar anahtarı artık geçerli olmaz. Aşağıdakine benzer bir hata görüntülenebilir:
Belirli bir ana bilgisayarın SSH known_hosts dosyasını güncellemek için aşağıdaki komut kullanılabilir:
Bir örnek şuna benzer olabilir:
No matching cipher found" hatasıyla iDRAC a SSH uygulayın:
iDRAC şifreleme şifreleri güncelleştirildikten sonra, ACM'den veya diğer sanal makineden iDRAC'a SSH aşağıdaki hata mesajını alabilir. Bu örnekte iDRAC IP adresi 10.60.9.156'dır:
Bu sorunu çözmek için iki seçenek vardır.
Seçenek 1:
iDRAC'a SSH uygulandığında "-c aes128-gcm@openssh.com" seçeneğini ekleyin.
Örneğin:
Seçenek 2:
/etc/ssh/ssh_config öğesini aes128-gcm@openssh.com ve aes256-gcm@openssh.com şifreleri içerecek şekilde değiştirin.
1. VM'de kök olarak oturum açın. Avamar ve Avamar Proxy için önce admin olarak oturum açın, ardından root olarak oturum açın.
2. Çalışma dizinini /etc/ssh olarak değiştirin.
3. Mevcut /etc/ssh/ssh_config dosyasının yedek bir kopyasını oluşturun.
4. /etc/ssh/ssh_config öğesini aes128-gcm@openssh.com ve aes256-gcm@openssh.com şifreleri içerecek şekilde değiştirin.
Kimden:
Şekil 2: /etc/ssh/ssh_config
içindeki varsayılan şifre ayarı Kime:
Şekil 3: /etc/ssh/ssh_config
içinde yeni şifre ayarı /etc/ssh/ssh_config aes128-gcm@openssh.com ve aes256-gcm@openssh.com şifreleri içerecek şekilde güncelledikten sonra, "eşleşen şifre bulunamadı" sorunu çözülmelidir.
Windows tabanlı bir SSH istemcisinin "no matching password found" hatasını alması durumunda:
Şekil 4: Windows tabanlı bir SSH istemcisinde
"eşleşen şifre bulunamadı" hatası alındı PuTTY sürüm 0.81, sorun olmadan test edilmiştir.
Şekil 5: PuTTY 0.81, Windows'dan iDRAC'a erişmek için kullanılabilir.
SSH-RSA ana bilgisayar anahtarını devre dışı bıraktıktan sonra, SSH known_hosts dosyasına önceden kaydedilmiş RSA ana bilgisayar anahtarı artık geçerli olmaz. Aşağıdakine benzer bir hata görüntülenebilir:
idpa-acm:~ # ssh 192.168.100.100 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending RSA key in /root/.ssh/known_hosts:9 You can use following command to remove the offending key: ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts ECDSA host key for 192.168.100.100 has changed and you have requested strict checking. Host key verification failed. idpa-acm:~ #
Belirli bir ana bilgisayarın SSH known_hosts dosyasını güncellemek için aşağıdaki komut kullanılabilir:
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts
Bir örnek şuna benzer olabilir:
/root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old idpa-acm:~ # ssh 192.168.100.100 The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established. ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Are you sure you want to continue connecting (yes/no)?
No matching cipher found" hatasıyla iDRAC a SSH uygulayın:
iDRAC şifreleme şifreleri güncelleştirildikten sonra, ACM'den veya diğer sanal makineden iDRAC'a SSH aşağıdaki hata mesajını alabilir. Bu örnekte iDRAC IP adresi 10.60.9.156'dır:
idpa-acm:~ # ssh 10.60.9.156 Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com idpa-acm:~ #
Bu sorunu çözmek için iki seçenek vardır.
Seçenek 1:
iDRAC'a SSH uygulandığında "-c aes128-gcm@openssh.com" seçeneğini ekleyin.
Örneğin:
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156 Password: racadm>>
Seçenek 2:
/etc/ssh/ssh_config öğesini aes128-gcm@openssh.com ve aes256-gcm@openssh.com şifreleri içerecek şekilde değiştirin.
1. VM'de kök olarak oturum açın. Avamar ve Avamar Proxy için önce admin olarak oturum açın, ardından root olarak oturum açın.
2. Çalışma dizinini /etc/ssh olarak değiştirin.
cd /etc/ssh
3. Mevcut /etc/ssh/ssh_config dosyasının yedek bir kopyasını oluşturun.
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup
4. /etc/ssh/ssh_config öğesini aes128-gcm@openssh.com ve aes256-gcm@openssh.com şifreleri içerecek şekilde değiştirin.
Kimden:
Şekil 2: /etc/ssh/ssh_config
içindeki varsayılan şifre ayarı Kime:
Şekil 3: /etc/ssh/ssh_config
içinde yeni şifre ayarı /etc/ssh/ssh_config aes128-gcm@openssh.com ve aes256-gcm@openssh.com şifreleri içerecek şekilde güncelledikten sonra, "eşleşen şifre bulunamadı" sorunu çözülmelidir.
Windows tabanlı bir SSH istemcisinin "no matching password found" hatasını alması durumunda:
Şekil 4: Windows tabanlı bir SSH istemcisinde
"eşleşen şifre bulunamadı" hatası alındı PuTTY sürüm 0.81, sorun olmadan test edilmiştir.
Şekil 5: PuTTY 0.81, Windows'dan iDRAC'a erişmek için kullanılabilir.
法律免责声明
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000224873
文章类型: Security KB
上次修改时间: 18 8月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。