PowerProtect DP 系列應用裝置和 IDPA 報告 SHA1 已淘汰 SSH 的設定 (QID 38909)
摘要: 安全性掃描器會報告 PowerProtect Data Protection 系列裝置或 Integration Data Protection Appliance (IDPA) 專用的已淘汰 SSH 密碼編譯設定 QID 38909。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
安全性文章类型
Security KB
CVE 标识符
Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909
问题摘要
OpenSSH 已將 Secure Shell (SSH) 用於驗證的 ssh-rsa 加密演算法宣告為已淘汰。棄用 ssh-rsa 主要源於對其安全性的擔憂。隨著計算能力的提高,攻擊者破解RSA密鑰變得更加可行,尤其是那些密鑰長度較短的密鑰。這使得保護 SSH 連接免受現代威脅的可靠性降低。
注意:本文僅面向 PowerProtect Data Protection 系列應用裝置或 IDPA 版本 2.7.6。若為舊版 IDPA,建議升級至 2.7.6 版。
在 IDPA 版本 2.7.6 上,下列元件預設已在 SSH 中啟用 ssh-rsa 加密演算法:
- Appliance Configuration Manager (ACM)
- 保護軟體 (Avamar)
- 虛擬機器 (VM) 代理 (Avamar 代理)
- 保護儲存 (Data Domain)
- 報告與分析 (DPA 應用程式和資料存放區)
- 搜尋
- Integrated Dell Remote Access Controller (iDRAC)
使用下列命令,確認系統是否受到 ssh-rsa 漏洞的影響:
ssh -o "HostKeyAlgorithms ssh-rsa" localhost如果需要遠端驗證,則為系統 IP 位址:
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>
如果系統容易受到 ssh-rsa 的攻擊,它會以 RSA 金鑰進行回應。以下為輸出範例:
The authenticity of host 'localhost (127.0.0.1)' can't be established. RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g. Are you sure you want to continue connecting (yes/no)?
如果系統禁用 ssh-rsa,協商將失敗,並且無法建立通信。以下為輸出範例:
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
建议
下列因應措施會停用 IDPA 相關元件的 ssh-rsa 主機金鑰。
針對 ACM、Avamar、Avamar Proxy、DPA 和搜尋:
1.以 root 身分登入 VM。若為 Avamar 和 Avamar Proxy,請先以系統管理員身分登入,然後 su 至 root。
2.將工作目錄變更為 /etc/ssh
3.製作現有 /etc/ssh/sshd_config 的備份複本
4.修改 /etc/ssh/sshd_config,且僅允許在組態檔案中進行所有 HostKey 設定的「HostKey /etc/ssh/ssh_host_ecdsa_key」和「HostKey /etc/ssh/ssh_host_ed25519_key」:
圖 1:僅顯示「HostKey /etc/ssh/ssh_host_ecdsa_key」和「HostKey /etc/ssh/ssh_host_ed25519_key」的範例處於作用中狀態。
5.測試 /etc/ssh/sshd_config 檔案語法,以下命令必須列印「0」。如果沒有,請修正檔案中的任何語法錯誤,然後再繼續:
6.重新啟動 sshd 程序:
7.如果主機金鑰 ssh-rsa 已停用,則當 ssh-rsa 用作主機金鑰時,會回應「找不到相符的主機金鑰類型」訊息:
對於 Data Domain:
iDRAC:
1.登入 iDRAC RACADM 命令行介面
2.使用下列命令檢閱現有的 SSH 加密密碼設定:
3.使用下列命令更新 SSH 加密密碼設定:
4.再次驗證 SSH 加密密碼設定:
以下是上述命令的預期輸出範例:
5.透過 SSH 確認主機金鑰已停用 ssh-rsa:
針對 ACM、Avamar、Avamar Proxy、DPA 和搜尋:
1.以 root 身分登入 VM。若為 Avamar 和 Avamar Proxy,請先以系統管理員身分登入,然後 su 至 root。
2.將工作目錄變更為 /etc/ssh
cd /etc/ssh
3.製作現有 /etc/ssh/sshd_config 的備份複本
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
4.修改 /etc/ssh/sshd_config,且僅允許在組態檔案中進行所有 HostKey 設定的「HostKey /etc/ssh/ssh_host_ecdsa_key」和「HostKey /etc/ssh/ssh_host_ed25519_key」:
注意:該行以未生效的主題標籤 (#) 開頭,系統僅將其視為註釋。
圖 1:僅顯示「HostKey /etc/ssh/ssh_host_ecdsa_key」和「HostKey /etc/ssh/ssh_host_ed25519_key」的範例處於作用中狀態。
5.測試 /etc/ssh/sshd_config 檔案語法,以下命令必須列印「0」。如果沒有,請修正檔案中的任何語法錯誤,然後再繼續:
sshd -t |echo $? 0
6.重新啟動 sshd 程序:
systemctl restart sshd
7.如果主機金鑰 ssh-rsa 已停用,則當 ssh-rsa 用作主機金鑰時,會回應「找不到相符的主機金鑰類型」訊息:
ssh -o "HostKeyAlgorithms ssh-rsa" localhost Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
對於 Data Domain:
注意:因應措施需要 IDPA 或 Data Domain 支援,因為它需要存取 DD OS BASH 模式。
注意:重新開機或升級後,將不會儲存對 sshd_config 檔案所做的修改。在提供永久解決方案的新 DD OS 版本 8.0 或 7.10.1.40 發佈之前,必須重新套用這些變更。目前沒有將這些 DD OS 版本整合至 IDPA 的預估時間。
iDRAC:
1.登入 iDRAC RACADM 命令行介面
2.使用下列命令檢閱現有的 SSH 加密密碼設定:
get idrac.sshcrypto.ciphers
3.使用下列命令更新 SSH 加密密碼設定:
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
4.再次驗證 SSH 加密密碼設定:
get idrac.sshcrypto.ciphers
以下是上述命令的預期輸出範例:
racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com [Key=idrac.Embedded.1#SSHCrypto.1] Object value modified successfully racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>
5.透過 SSH 確認主機金鑰已停用 ssh-rsa:
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address> Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
其他信息
先前的已知主機金鑰無效:
停用 ssh-rsa 主機金鑰後,先前儲存在 SSH known_hosts檔案中的 RSA 主機金鑰已不再有效。錯誤可能會顯示類似:
若要更新特定主機的 SSH known_hosts 檔案,可以使用下列命令:
範例會類似:
SSH 至 iDRAC,但發生「找不到相符的密碼」錯誤:
更新 iDRAC 加密密碼後,SSH 從 ACM 或其他 VM 至 iDRAC 可能會收到下列錯誤訊息。在此範例中,iDRAC IP 位址為 10.60.9.156:
有兩種選項可解決此問題。
選項 1:
在 SSH 至 iDRAC 時,新增選項「-c aes128-gcm@openssh.com」。
例如:
選項 2:
修改 /etc/ssh/ssh_config 以包含密碼 aes128-gcm@openssh.com 和 aes256-gcm@openssh.com。
1.以 root 身分登入 VM。若為 Avamar 和 Avamar Proxy,請先以系統管理員身分登入,然後 su 至 root。
2.將工作目錄變更為 /etc/ssh。
3.製作現有 /etc/ssh/ssh_config 的備份複本。
4.修改 /etc/ssh/ssh_config 以包含密碼 aes128-gcm@openssh.com 和 aes256-gcm@openssh.com。
來自:
圖 2:在 /etc/ssh/ssh_config
中的預設密碼設定 收件者:
圖 3:在 /etc/ssh/ssh_config
中設定新密碼 更新 /etc/ssh/ssh_config 以包含密碼 aes128-gcm@openssh.com 和 aes256-gcm@openssh.com 後,應會解決「找不到相符的密碼」問題。
如果 Windows 型 SSH 用戶端收到「找不到相符的密碼」錯誤:
圖 4:在 Windows 型 SSH 用戶端
收到「找不到相符的密碼」錯誤 PuTTY 版本 0.81 已經過測試,沒有發生此問題。
圖 5:PuTTY 0.81 可用於從 Windows 存取 iDRAC。
停用 ssh-rsa 主機金鑰後,先前儲存在 SSH known_hosts檔案中的 RSA 主機金鑰已不再有效。錯誤可能會顯示類似:
idpa-acm:~ # ssh 192.168.100.100 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending RSA key in /root/.ssh/known_hosts:9 You can use following command to remove the offending key: ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts ECDSA host key for 192.168.100.100 has changed and you have requested strict checking. Host key verification failed. idpa-acm:~ #
若要更新特定主機的 SSH known_hosts 檔案,可以使用下列命令:
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts
範例會類似:
/root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old idpa-acm:~ # ssh 192.168.100.100 The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established. ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Are you sure you want to continue connecting (yes/no)?
SSH 至 iDRAC,但發生「找不到相符的密碼」錯誤:
更新 iDRAC 加密密碼後,SSH 從 ACM 或其他 VM 至 iDRAC 可能會收到下列錯誤訊息。在此範例中,iDRAC IP 位址為 10.60.9.156:
idpa-acm:~ # ssh 10.60.9.156 Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com idpa-acm:~ #
有兩種選項可解決此問題。
選項 1:
在 SSH 至 iDRAC 時,新增選項「-c aes128-gcm@openssh.com」。
例如:
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156 Password: racadm>>
選項 2:
修改 /etc/ssh/ssh_config 以包含密碼 aes128-gcm@openssh.com 和 aes256-gcm@openssh.com。
1.以 root 身分登入 VM。若為 Avamar 和 Avamar Proxy,請先以系統管理員身分登入,然後 su 至 root。
2.將工作目錄變更為 /etc/ssh。
cd /etc/ssh
3.製作現有 /etc/ssh/ssh_config 的備份複本。
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup
4.修改 /etc/ssh/ssh_config 以包含密碼 aes128-gcm@openssh.com 和 aes256-gcm@openssh.com。
來自:
圖 2:在 /etc/ssh/ssh_config
中的預設密碼設定 收件者:
圖 3:在 /etc/ssh/ssh_config
中設定新密碼 更新 /etc/ssh/ssh_config 以包含密碼 aes128-gcm@openssh.com 和 aes256-gcm@openssh.com 後,應會解決「找不到相符的密碼」問題。
如果 Windows 型 SSH 用戶端收到「找不到相符的密碼」錯誤:
圖 4:在 Windows 型 SSH 用戶端
收到「找不到相符的密碼」錯誤 PuTTY 版本 0.81 已經過測試,沒有發生此問題。
圖 5:PuTTY 0.81 可用於從 Windows 存取 iDRAC。
法律免责声明
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000224873
文章类型: Security KB
上次修改时间: 18 8月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。