Пристрої серії PowerProtect DP та IDPA повідомляють про застаріле налаштування SHA1 для SSH (QID 38909)
摘要: Сканери безпеки повідомляють про застарілі криптографічні параметри SSH QID 38909 для пристроїв серії захисту даних PowerProtect або інтеграційного пристрою захисту даних (IDPA).
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
安全性文章类型
Security KB
CVE 标识符
Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909
问题摘要
Алгоритм шифрування ssh-rsa , який використовується в Secure Shell (SSH) для автентифікації, був оголошений застарілим OpenSSH. Припинення використання ssh-rsa в першу чергу пов'язане з побоюваннями щодо його безпеки. Зі збільшенням обчислювальної потужності зловмисникам стало більш можливим зламати ключі RSA, особливо ті, що генеруються з меншою довжиною ключа. Це робить його менш надійним для захисту SSH-з'єднань від сучасних загроз.
Примітка: Ця стаття призначена лише для пристроїв серії PowerProtect Data Protection Appliances або IDPA версії 2.7.6. Для більш ранніх версій IDPA рекомендується оновитися до версії 2.7.6.
У версії IDPA 2.7.6 алгоритм шифрування ssh-rsa за замовчуванням увімкнено у SSH таких компонентів:
- Диспетчер конфігурації пристрою (ACM)
- Програмне забезпечення для захисту (Avamar)
- Проксі-сервер віртуальної машини (VM) (Avamar Proxy)
- Захист сховища (домен даних)
- Звітність та аналітика (DPA App та Datastore)
- Шукати
- Вбудований контролер віддаленого доступу Dell (iDRAC)
Використовуйте наступну команду, щоб перевірити, чи впливає на систему вразливість ssh-rsa:
ssh -o "HostKeyAlgorithms ssh-rsa" localhostабо IP-адресу системи, якщо потрібна віддалена перевірка:
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>
Якщо система вразлива до ssh-rsa, вона відповідає ключем RSA. Ось приклад виведення:
The authenticity of host 'localhost (127.0.0.1)' can't be established. RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g. Are you sure you want to continue connecting (yes/no)?
Якби система відключала ssh-rsa, переговори провалилися б і не змогли б налагодити зв'язок. Ось приклад виведення:
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
建议
Наведений нижче обхідний шлях вимикає ключ вузла ssh-rsa для компонентів, пов'язаних з IDPA.
Для ACM, Avamar, Avamar Proxy, DPA та пошуку:
1. Увійдіть у віртуальну машину від імені root. Для Avamar і Avamar Proxy спочатку увійдіть як адміністратор, а потім su до root.
2. Змініть робочу директорію на /etc/ssh
3. Створіть резервну копію існуючого файлу /etc/ssh/sshd_config
4. Змініть файл /etc/ssh/sshd_config і дозвольте лише "HostKey /etc/ssh/ssh_host_ecdsa_key" та "HostKey /etc/ssh/ssh_host_ed25519_key" у файлі налаштувань для всіх параметрів HostKey:
Малюнок 1: Приклад, у якому активними є лише "HostKey /etc/ssh/ssh_host_ecdsa_key" та "HostKey /etc/ssh/ssh_host_ed25519_key".
5. Перевірте синтаксис файлу /etc/ssh/sshd_config, наведена нижче команда має вивести "0". Якщо це не так, виправте будь-які синтаксичні помилки у файлі, перш ніж продовжити:
6. Перезапустіть процес sshd:
7. Якщо ключ вузла ssh-rsa вимкнено, у разі використання ssh-rsa як ключа вузла з'являється повідомлення «не знайдено відповідного типу ключа вузла»:
Для домену даних:
Для iDRAC:
1. Увійдіть в інтерфейс
командного рядка iDRAC RACADM 2. Перегляньте існуючі налаштування криптошифрів SSH за допомогою наступної команди:
3. Оновіть налаштування криптошифрів SSH за допомогою наступної команди:
4. Ще раз перевірте налаштування криптошифрів SSH:
Ось приклад очікуваного результату вищезазначених команд:
5. Переконайтеся, що ssh-rsa вимкнено як ключ вузла за допомогою SSH:
Для ACM, Avamar, Avamar Proxy, DPA та пошуку:
1. Увійдіть у віртуальну машину від імені root. Для Avamar і Avamar Proxy спочатку увійдіть як адміністратор, а потім su до root.
2. Змініть робочу директорію на /etc/ssh
cd /etc/ssh
3. Створіть резервну копію існуючого файлу /etc/ssh/sshd_config
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
4. Змініть файл /etc/ssh/sshd_config і дозвольте лише "HostKey /etc/ssh/ssh_host_ecdsa_key" та "HostKey /etc/ssh/ssh_host_ed25519_key" у файлі налаштувань для всіх параметрів HostKey:
Примітка: Рядок починається з хештега (#), який не вступає в силу і система розглядає його тільки як коментарі.
Малюнок 1: Приклад, у якому активними є лише "HostKey /etc/ssh/ssh_host_ecdsa_key" та "HostKey /etc/ssh/ssh_host_ed25519_key".
5. Перевірте синтаксис файлу /etc/ssh/sshd_config, наведена нижче команда має вивести "0". Якщо це не так, виправте будь-які синтаксичні помилки у файлі, перш ніж продовжити:
sshd -t |echo $? 0
6. Перезапустіть процес sshd:
systemctl restart sshd
7. Якщо ключ вузла ssh-rsa вимкнено, у разі використання ssh-rsa як ключа вузла з'являється повідомлення «не знайдено відповідного типу ключа вузла»:
ssh -o "HostKeyAlgorithms ssh-rsa" localhost Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
Для домену даних:
Примітка: Щоб обійти цю проблему, потрібен IDPA або Data Domain Support, оскільки він вимагає доступу до режиму DD OS BASH.
Примітка: Зміни, внесені до файлу sshd_config, не будуть збережені після перезавантаження або оновлення. Ці зміни необхідно повторно застосовувати, доки не вийде нова версія DD OS 8.0 або 7.10.1.40, яка забезпечує постійну роздільну здатність. Немає приблизного часу, коли ці версії DD OS будуть інтегровані в IDPA.
Для iDRAC:
1. Увійдіть в інтерфейс
командного рядка iDRAC RACADM 2. Перегляньте існуючі налаштування криптошифрів SSH за допомогою наступної команди:
get idrac.sshcrypto.ciphers
3. Оновіть налаштування криптошифрів SSH за допомогою наступної команди:
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
4. Ще раз перевірте налаштування криптошифрів SSH:
get idrac.sshcrypto.ciphers
Ось приклад очікуваного результату вищезазначених команд:
racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com [Key=idrac.Embedded.1#SSHCrypto.1] Object value modified successfully racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>
5. Переконайтеся, що ssh-rsa вимкнено як ключ вузла за допомогою SSH:
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address> Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
其他信息
Попередній відомий ключ хоста недійсний:
Після вимкнення ключа вузла ssh-rsa раніше збережений ключ вузла RSA у файлі SSH known_hosts більше не є дійсним. Може з'явитися помилка, подібна до наступного:
Щоб оновити файл SSH known_hosts для конкретного хоста, можна використовувати наступну команду:
Приклад може бути схожий на:
SSH на iDRAC з помилкою "шифр не знайдено":
Після оновлення криптошифрів iDRAC SSH з ACM або іншої віртуальної машини до iDRAC може отримати таке повідомлення про помилку. IP-адреса iDRAC – 10.60.9.156 у цьому прикладі:
Є два варіанти вирішення цієї проблеми.
Варіант 1:
Додайте опцію "-c aes128-gcm@openssh.com" при SSH до iDRAC.
Наприклад:
Варіант 2:
Змініть ssh_config /etc/ssh/, щоб включити шифри aes128-gcm@openssh.com та aes256-gcm@openssh.com.
1. Увійдіть у віртуальну машину від імені root. Для Avamar і Avamar Proxy спочатку увійдіть як адміністратор, а потім su до root.
2. Змініть робочу директорію на /etc/ssh.
3. Створіть резервну копію існуючого файлу /etc/ssh/ssh_config.
4. Змініть /etc/ssh/ssh_config, щоб включити шифри aes128-gcm@openssh.com та aes256-gcm@openssh.com.
Від:
Малюнок 2: Стандартне налаштування шифру в /etc/ssh/ssh_config
Кому:
Малюнок 3: Новий параметр шифру в /etc/ssh/ssh_config
Після оновлення /etc/ssh/ssh_config для включення шифрів aes128-gcm@openssh.com та aes256-gcm@openssh.com, слід вирішити проблему "не знайдено відповідного шифру".
У випадку, якщо клієнт SSH на базі Windows отримує помилку "не знайдено відповідного шифру":
Малюнок 4: Помилка «шифр не знайдено», отримана в SSH-клієнті
на базі Windows PuTTY версії 0.81 було протестовано без проблем.
Малюнок 5: PuTTY 0.81 можна використовувати для доступу до iDRAC з Windows.
Після вимкнення ключа вузла ssh-rsa раніше збережений ключ вузла RSA у файлі SSH known_hosts більше не є дійсним. Може з'явитися помилка, подібна до наступного:
idpa-acm:~ # ssh 192.168.100.100 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending RSA key in /root/.ssh/known_hosts:9 You can use following command to remove the offending key: ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts ECDSA host key for 192.168.100.100 has changed and you have requested strict checking. Host key verification failed. idpa-acm:~ #
Щоб оновити файл SSH known_hosts для конкретного хоста, можна використовувати наступну команду:
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts
Приклад може бути схожий на:
/root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old idpa-acm:~ # ssh 192.168.100.100 The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established. ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Are you sure you want to continue connecting (yes/no)?
SSH на iDRAC з помилкою "шифр не знайдено":
Після оновлення криптошифрів iDRAC SSH з ACM або іншої віртуальної машини до iDRAC може отримати таке повідомлення про помилку. IP-адреса iDRAC – 10.60.9.156 у цьому прикладі:
idpa-acm:~ # ssh 10.60.9.156 Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com idpa-acm:~ #
Є два варіанти вирішення цієї проблеми.
Варіант 1:
Додайте опцію "-c aes128-gcm@openssh.com" при SSH до iDRAC.
Наприклад:
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156 Password: racadm>>
Варіант 2:
Змініть ssh_config /etc/ssh/, щоб включити шифри aes128-gcm@openssh.com та aes256-gcm@openssh.com.
1. Увійдіть у віртуальну машину від імені root. Для Avamar і Avamar Proxy спочатку увійдіть як адміністратор, а потім su до root.
2. Змініть робочу директорію на /etc/ssh.
cd /etc/ssh
3. Створіть резервну копію існуючого файлу /etc/ssh/ssh_config.
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup
4. Змініть /etc/ssh/ssh_config, щоб включити шифри aes128-gcm@openssh.com та aes256-gcm@openssh.com.
Від:
Малюнок 2: Стандартне налаштування шифру в /etc/ssh/ssh_config
Кому:
Малюнок 3: Новий параметр шифру в /etc/ssh/ssh_config
Після оновлення /etc/ssh/ssh_config для включення шифрів aes128-gcm@openssh.com та aes256-gcm@openssh.com, слід вирішити проблему "не знайдено відповідного шифру".
У випадку, якщо клієнт SSH на базі Windows отримує помилку "не знайдено відповідного шифру":
Малюнок 4: Помилка «шифр не знайдено», отримана в SSH-клієнті
на базі Windows PuTTY версії 0.81 було протестовано без проблем.
Малюнок 5: PuTTY 0.81 можна використовувати для доступу до iDRAC з Windows.
法律免责声明
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000224873
文章类型: Security KB
上次修改时间: 18 8月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。