PowerProtect DP 系列备份一体机和 IDPA 报告 SSH 的 SHA1 弃用设置 (QID 38909)
摘要: 安全扫描程序报告适用于 PowerProtect 数据保护系列备份一体机或融合备份一体机 (IDPA) 的已弃用 SSH 加密设置 QID 38909。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
安全性文章类型
Security KB
CVE 标识符
Deprecated SSH Cryptographic Settings Qualys ID (QID) 38909
问题摘要
Secure Shell (SSH) 中用于身份验证的 ssh-rsa 加密算法已被 OpenSSH 声明为已弃用。ssh-rsa 的弃用主要源于对其安全性的担忧。随着计算能力的提高,攻击者破解 RSA 密钥变得更加可行,尤其是那些以较短密钥长度生成的密钥。这使得它不太可靠地保护 SSH 连接免受现代威胁。
提醒:本文仅针对 PowerProtect Data Protection 系列备份一体机或 IDPA 版本 2.7.6。对于较早版本的 IDPA,建议升级到版本 2.7.6。
在 IDPA 版本 2.7.6 上,以下组件默认在 SSH 中启用 ssh-rsa 加密算法:
- Appliance Configuration Manager (ACM)
- 保护软件 (Avamar)
- 虚拟机 (VM) 代理(Avamar 代理)
- 保护存储 (Data Domain)
- 报告和分析(DPA 应用程序和数据存储)
- 搜索
- 集成戴尔远程访问控制器(iDRAC)
使用以下命令验证系统是否受到 ssh-rsa 漏洞的影响:
ssh -o "HostKeyAlgorithms ssh-rsa" localhost或系统 IP 地址(如果需要远程验证):
ssh -o "HostKeyAlgorithms ssh-rsa" <IP Address>
如果系统容易受到 ssh-rsa 的攻击,它将使用 RSA 密钥进行响应。下面是一个示例输出:
The authenticity of host 'localhost (127.0.0.1)' can't be established. RSA key fingerprint is SHA256:DvdSBsGADdtyhzc5wi+CCpSpelEhVXFWeWQ9pheDJ2g. Are you sure you want to continue connecting (yes/no)?
如果系统禁用 ssh-rsa,则协商将失败,并且无法建立通信。下面是一个示例输出:
Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
建议
以下解决方法将为 IDPA 相关组件禁用 ssh-rsa 主机密钥。
对于 ACM、Avamar、Avamar 代理、DPA 和 Search:
1.以 root 用户身份登录虚拟机。对于 Avamar 和 Avamar 代理,请先以管理员身份登录,然后通过 su 命令登录到 root用户。
2.将工作目录更改为 /etc/ssh
3.创建现有 /etc/ssh/sshd_config 的备份拷贝
4.修改 /etc/ssh/sshd_config并仅允许所有 HostKey 设置的配置文件中的“HostKey /etc/ssh/ssh_host_ecdsa_key”和“HostKey /etc/ssh/ssh_host_ed25519_key”:
图 1:仅显示“HostKey /etc/ssh/ssh_host_ecdsa_key”和“HostKey /etc/ssh/ssh_host_ed25519_key”处于活动状态的示例。
5.测试 /etc/ssh/sshd_config 文件语法,以下命令必须打印“0”。如果不是,请更正文件中的任何语法错误,然后再继续:
6.重新启动 sshd 进程:
7.如果主机密钥 ssh-rsa 已禁用,则当 ssh-rsa 用作主机密钥时,会响应“no matching host key type found”消息:
对于 Data Domain:
对于 iDRAC:
1.登录到 iDRAC RACADM 命令行界面
2.使用以下命令查看现有的 SSH 加密密码设置:
3.使用以下命令更新 SSH 加密密码设置:
4.再次验证 SSH 加密密码设置:
以下是上述命令的预期输出示例:
5.验证 SSH 是否已禁用 ssh-rsa 作为主机密钥:
对于 ACM、Avamar、Avamar 代理、DPA 和 Search:
1.以 root 用户身份登录虚拟机。对于 Avamar 和 Avamar 代理,请先以管理员身份登录,然后通过 su 命令登录到 root用户。
2.将工作目录更改为 /etc/ssh
cd /etc/ssh
3.创建现有 /etc/ssh/sshd_config 的备份拷贝
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
4.修改 /etc/ssh/sshd_config并仅允许所有 HostKey 设置的配置文件中的“HostKey /etc/ssh/ssh_host_ecdsa_key”和“HostKey /etc/ssh/ssh_host_ed25519_key”:
提醒:该行以未生效的话题标签 (#) 开头,系统仅将其视为注释。
图 1:仅显示“HostKey /etc/ssh/ssh_host_ecdsa_key”和“HostKey /etc/ssh/ssh_host_ed25519_key”处于活动状态的示例。
5.测试 /etc/ssh/sshd_config 文件语法,以下命令必须打印“0”。如果不是,请更正文件中的任何语法错误,然后再继续:
sshd -t |echo $? 0
6.重新启动 sshd 进程:
systemctl restart sshd
7.如果主机密钥 ssh-rsa 已禁用,则当 ssh-rsa 用作主机密钥时,会响应“no matching host key type found”消息:
ssh -o "HostKeyAlgorithms ssh-rsa" localhost Unable to negotiate with 127.0.0.1 port 22: no matching host key type found. Their offer: ecdsa-sha2-nistp256,ssh-ed25519
对于 Data Domain:
提醒:该解决方法需要 IDPA 或 Data Domain 支持,因为它需要访问 DD OS BASH 模式。
提醒:重新启动或升级后,不会保存对 sshd_config 文件所做的修改。在新的 DD OS 版本 8.0 或 7.10.1.40 发布之前,必须重新应用这些更改,这可提供永久解决方案。这些 DD OS 版本集成到 IDPA 时没有预计时间。
对于 iDRAC:
1.登录到 iDRAC RACADM 命令行界面
2.使用以下命令查看现有的 SSH 加密密码设置:
get idrac.sshcrypto.ciphers
3.使用以下命令更新 SSH 加密密码设置:
set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com
4.再次验证 SSH 加密密码设置:
get idrac.sshcrypto.ciphers
以下是上述命令的预期输出示例:
racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>set idrac.sshcrypto.ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com [Key=idrac.Embedded.1#SSHCrypto.1] Object value modified successfully racadm>>get idrac.sshcrypto.ciphers [Key=idrac.Embedded.1#SSHCrypto.1] Ciphers=aes128-gcm@openssh.com,aes256-gcm@openssh.com racadm>>
5.验证 SSH 是否已禁用 ssh-rsa 作为主机密钥:
ssh -o "HostKeyAlgorithms ssh-rsa" <IDRAC IP Address> Unable to negotiate with <IDRAC IP Address> port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com
其他信息
以前的已知主机密钥无效:
禁用 ssh-rsa 主机密钥后,以前在 SSH known_hosts文件中保存的 RSA 主机密钥不再有效。错误可能类似于以下内容:
要更新特定主机的 SSH known_hosts文件,可以使用以下命令:
示例类似于:
通过 SSH 连接到 iDRAC,并显示“no matching cipher found”错误:
更新 iDRAC 加密密码后,从 ACM 或其他虚拟机到 iDRAC 的 SSH 可能会收到以下错误消息。在此示例中,iDRAC IP 地址为 10.60.9.156:
有两个选项可以解决此问题。
选项 1:
通过 SSH 连接到 iDRAC 时添加选项“-c aes128-gcm@openssh.com”。
例如:
选项 2:
修改 /etc/ssh/ssh_config以包括密码 aes128-gcm@openssh.com 和 aes256-gcm@openssh.com。
1.以 root 用户身份登录虚拟机。对于 Avamar 和 Avamar 代理,请先以管理员身份登录,然后通过 su 命令登录到 root用户。
2.将工作目录更改为 /etc/ssh。
3.创建现有 /etc/ssh/ssh_config 的备份拷贝。
4.修改 /etc/ssh/ssh_config以包括密码 aes128-gcm@openssh.com 和 aes256-gcm@openssh.com。
来自:
图2:/etc/ssh/ssh_config
中的默认密码设置 To:
图 3:/etc/ssh/ssh_config
中的新密码设置 更新 /etc/ssh/ssh_config 以包括密码 aes128-gcm@openssh.com 和 aes256-gcm@openssh.com 后,应解决“未找到匹配密码”的问题。
如果基于 Windows 的 SSH 客户端收到“no matching cipher found”错误:
图 4:在基于 Windows 的 SSH 客户端
中收到“no matching cipher found”(找不到匹配的密码)错误。PuTTY 版本 0.81 已经过测试,没有出现此问题。
图 5:PuTTY 0.81 可用于从 Windows 访问 iDRAC。
禁用 ssh-rsa 主机密钥后,以前在 SSH known_hosts文件中保存的 RSA 主机密钥不再有效。错误可能类似于以下内容:
idpa-acm:~ # ssh 192.168.100.100 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending RSA key in /root/.ssh/known_hosts:9 You can use following command to remove the offending key: ssh-keygen -R 192.168.100.100 -f /root/.ssh/known_hosts ECDSA host key for 192.168.100.100 has changed and you have requested strict checking. Host key verification failed. idpa-acm:~ #
要更新特定主机的 SSH known_hosts文件,可以使用以下命令:
ssh-keygen -R <IP Address> -f /root/.ssh/known_hosts
示例类似于:
/root/.ssh/known_hosts updated. Original contents retained as /root/.ssh/known_hosts.old idpa-acm:~ # ssh 192.168.100.100 The authenticity of host '192.168.100.100 (192.168.100.100)' can't be established. ECDSA key fingerprint is SHA256:J4j0FrLvrWbFouXtTE8qMCkDrIQ9U0+RaPGIKXtprTo. Are you sure you want to continue connecting (yes/no)?
通过 SSH 连接到 iDRAC,并显示“no matching cipher found”错误:
更新 iDRAC 加密密码后,从 ACM 或其他虚拟机到 iDRAC 的 SSH 可能会收到以下错误消息。在此示例中,iDRAC IP 地址为 10.60.9.156:
idpa-acm:~ # ssh 10.60.9.156 Unable to negotiate with 10.60.9.156 port 22: no matching cipher found. Their offer: aes128-gcm@openssh.com,aes256-gcm@openssh.com idpa-acm:~ #
有两个选项可以解决此问题。
选项 1:
通过 SSH 连接到 iDRAC 时添加选项“-c aes128-gcm@openssh.com”。
例如:
idpa-acm:~ # ssh -c aes128-gcm@openssh.com 10.60.9.156 Password: racadm>>
选项 2:
修改 /etc/ssh/ssh_config以包括密码 aes128-gcm@openssh.com 和 aes256-gcm@openssh.com。
1.以 root 用户身份登录虚拟机。对于 Avamar 和 Avamar 代理,请先以管理员身份登录,然后通过 su 命令登录到 root用户。
2.将工作目录更改为 /etc/ssh。
cd /etc/ssh
3.创建现有 /etc/ssh/ssh_config 的备份拷贝。
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.backup
4.修改 /etc/ssh/ssh_config以包括密码 aes128-gcm@openssh.com 和 aes256-gcm@openssh.com。
来自:
图2:/etc/ssh/ssh_config
中的默认密码设置 To:
图 3:/etc/ssh/ssh_config
中的新密码设置 更新 /etc/ssh/ssh_config 以包括密码 aes128-gcm@openssh.com 和 aes256-gcm@openssh.com 后,应解决“未找到匹配密码”的问题。
如果基于 Windows 的 SSH 客户端收到“no matching cipher found”错误:
图 4:在基于 Windows 的 SSH 客户端
中收到“no matching cipher found”(找不到匹配的密码)错误。PuTTY 版本 0.81 已经过测试,没有出现此问题。
图 5:PuTTY 0.81 可用于从 Windows 访问 iDRAC。
法律免责声明
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000224873
文章类型: Security KB
上次修改时间: 18 8月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。