공유할 서비스 선택

TECH

TECH

OS RHEL 9에서 RHEL 6 시스템 또는 타사 APP 서비스로 SSH 연결이 되지 않는 이유

페이지 정보

작성자 OSworker 아이디로 검색 전체게시물 댓글 0건 조회 25회 좋아요 0회 작성일 24-12-24 20:10

본문

안녕하세요 

 

오늘은 레드햇 KCS(Knowledge Centered Support) 한개를 소개시켜 드리려합니다. 

 

"RHEL 9에서 RHEL 6 시스템 또는 타사 APP 서비스로 SSH 연결이 되지 않는 이유"입니다. 

 

 

1) 문제 발생 

 

RHEL 9에서 RHEL6서버로 SSH 접속이 안되거나, 타사 어플리케이션에 RHEL9 으로부터 SSH접속하려호하는데

접속이 안되는 이슈입니다. 

 

- 에러 메세지는 아래와 같이 발생합니다. 

 

ssh_dispatch_run_fatal: Connection to 1.2.3.4 port 22: error in libcrypto

Or

Unable to negotiate with 1.2.3.4 port 22: no matching host key type found. Their offer: ssh-rsa

 

그리고 위에서 말한 타사 어플리케이션은 GitBlit라는 것이 있습니다. 

 

 

2) 해결 방안

 

  - 해결 방안은 총 4개를 설명 하고 있습니다. 

 

1) 대상 시스템/서비스(RHEL6)에서 RSA 대신 ECDSA 알고리즘을 사용하여 호스트 키를 생성합니다.

RHEL6의 경우 Red Hat Enterprise Linux 6에서 openssh와 함께 ECDSA 및 ECDH를 사용하는 방법 에 절차가 설명되어 있습니다 .

2023년 12월 21일 기준으로 GitBlit과 같은 타사 애플리케이션의 경우 해당 솔루션은 적용되지 않습니다.

 

. 참고링크 : https://access.redhat.com/solutions/711953

 

 

 

2) 사실 저는 이 방법이 가장 쉽게 접근할수 있는 방법이라고 생각합니다. 

 

접속을 시도하는(RHEL9) 시스템에서 기본 정책 위에 SHA1 암호화 정책을 활성화합니다.

# update-crypto-policies --set DEFAULT:SHA1

또는 시스템 전체 암호화 정책을 LEGACY 정책으로 전환할 수 있습니다.

LEGACY 암호화 정책은 더 이상 권장되지 않는 다른 알고리즘과 함께 SHA1 알고리즘을 다시 활성화합니다.

 

*이 옵션은 Red Hat에서 권장하지 않으며 RHEL 6 구성을 변경할 수 없는 경우에만 해결책으로 사용해야 합니다 .

 

 

3) 이방법이 제일 복잡해 보이긴 합니다. ~

- 소스 시스템에서 필요에 따라 사용할 수 있는 맞춤형 OpenSSH 및 OpenSSL 구성을 작성합니다. 이는 runcp wrapper 와 유사하지만, 지원되지 않는 패키지를 필요로 하지 않으므로 Red Hat 지원에서 어느 정도 지원받을 수 있습니다.

# update-crypto-policies --set DEFAULT:SHA1

# cp /etc/crypto-policies/back-ends/opensslcnf.config /etc/crypto-policies/back-ends/opensslcnf+sha1-KCS6816771.config 

# cp /etc/crypto-policies/back-ends/openssh.config /etc/crypto-policies/back-ends/openssh+sha1-KCS6816771.config

# update-crypto-policies --set DEFAULT

# sed "s#opensslcnf.config#opensslcnf+sha1-KCS6816771.config#" /etc/ssl/openssl.cnf > /etc/ssl/openssl+sha1-KCS6816771.cnf

 

# vim /etc/ssh/ssh_config.d/10-sha1-KCS6816771.conf ... editor opens ... 

—---------------------------------------------------------------------------------

# Example for a legacy system running RHEL6 and accessed through name or IP address 1.2.3.4 Match host my-rhel6-system 1.2.3.4 Include /etc/crypto-policies/back-ends/openssh+sha1-KCS6816771.config 

# Example for 3rd party application service GitBlit Match host <gitblit-identifier> Hostname <gitblit-system> Port <gitblit-port> Include /etc/crypto-policies/back-ends/openssh+sha1-KCS6816771.config

—---------------------------------------------------------------------------------

 

 

4) 소스 시스템에서 runcp wrapper를 설치합니다.

 

> 패키지 설치 

# dnf copr enable asosedkin/crypto-policies-extras

# dnf -y install crypto-policies-extras

 

> 명령을 래퍼에 래핑합니다.

$ runcp LEGACY ssh my-rhel6-host <command>

 

>git을 사용할 때 3자 애플리케이션 서비스 GitBlit에 대한 예:

$ runcp LEGACY git clone ssh://<gitblit-service>:<gitblit-port>/path/to/my/git

 

 

3. 장애 원인 

- RHEL 6 OpenSSH 구현은 SHA1에 의존하는 ssh-rsa 공개 키 서명 알고리즘을 사용합니다. OpenSSH 업스트림은 OpenSSH 릴리스 8.8 이후로 기본적으로 SHA1 해시 알고리즘을 사용하여 RSA 서명을 비활성화했습니다.

- In RHEL 9, SHA1 usage is restricted in the DEFAULT system-wide cryptographic policy. With the exception of HMAC usage, SHA1 is no longer allowed in TLS, DTLS, SSH, IKEv2 and Kerberos protocols.

 

즉, RHEL9에서는 SHA1을 사용하지 않기에 이런 문제가 발생하는것입니다. 

 

이 KCS 경로 :  https://access.redhat.com/solutions/6816771

추가 설명글 : https://www.redhat.com/en/blog/rhel-security-sha-1-package-signatures-distrusted-rhel-9

 

 

긴글 읽어주셔서 감사합니다. 혹, 질문이 있으신분은 언제든 댓글 남겨주세요.

 

 

감사합니다. 

 

댓글목록

등록된 댓글이 없습니다.

TECH - 좋아요글 총 57건전체보기 >

TECH - 좋아요글 더보기
TECH 목록
번호 제목 작성자 작성일 조회수
열람중 OS
RHEL 9에서 RHEL 6 시스템 또는 타사 APP 서비스로 SSH 연결이 되지 않는 이유
OSworker 아이디로 검색 전체게시물 12-24 26
열람중
RHEL 9에서 RHEL 6 시스템 또는 타사 APP 서비스로 SSH 연결이 되지 않는 이유

카테고리 : OS

26 0
작성자 : OSworker 24/12/24
106 OS
RHEL7.9 RHEL8.8 커널 업데이트 후 성능 이슈가 발생했습니다.
OSworker 아이디로 검색 전체게시물 12-14 85
RHEL7.9 RHEL8.8 커널 업데이트 후 성능 이슈가 발생했습니다.

카테고리 : OS

85 0
작성자 : OSworker 24/12/14
105 OS
Red Hat Enterprise Linux 9에서 root 사용자로 SSH 로그인 활성화 하는 방법
OSworker 아이디로 검색 전체게시물 11-27 209
Red Hat Enterprise Linux 9에서 root 사용자로 SSH 로그인 활성화 하는 방법

카테고리 : OS

209 0
작성자 : OSworker 24/11/27
104 OS
RHEL 9.5 가 11월 12일에 릴리즈 되었습니다. 간략하게 살펴보시죠~
OSworker 아이디로 검색 전체게시물 11-17 260
RHEL 9.5 가 11월 12일에 릴리즈 되었습니다. 간략하게 살펴보시죠~

카테고리 : OS

260 0
작성자 : OSworker 24/11/17
103 OS
어떤 프로세스 어떤 이유로 인해 성능에 문제가 생겼을때 perf로 그 문제를 찾아보세요.
OSworker 아이디로 검색 전체게시물 11-10 237
어떤 프로세스 어떤 이유로 인해 성능에 문제가 생겼을때 perf로 그 문제를 찾아보세요.

카테고리 : OS

237 0
작성자 : OSworker 24/11/10
102 OS
AI에 대한 관심이 많습니다. 혹시 RHEL AI에 대해 들어보셨나요?
OSworker 아이디로 검색 전체게시물 10-31 261
AI에 대한 관심이 많습니다. 혹시 RHEL AI에 대해 들어보셨나요?

카테고리 : OS

261 0
작성자 : OSworker 24/10/31
101 OS
Fedora와 Red Hat Enterprise Linux의 차이점
OSworker 아이디로 검색 전체게시물 10-24 269
Fedora와 Red Hat Enterprise Linux의 차이점

카테고리 : OS

269 0
작성자 : OSworker 24/10/24
100 OS
audit 로그에 저장된 time 을 날짜/시간 으로 변경하여 보는법
OSworker 아이디로 검색 전체게시물 10-11 303
audit 로그에 저장된 time 을 날짜/시간 으로 변경하여 보는법

카테고리 : OS

303 0
작성자 : OSworker 24/10/11
99 OS
[보안취약점]"RHSB-2024-002 - OpenPrinting cups-filters"에 대해 설명드리고…
OSworker 아이디로 검색 전체게시물 09-29 431
[보안취약점]"RHSB-2024-002 - OpenPrinting cups-filters"에 대해 설명드리고자합니다.

카테고리 : OS

431 0
작성자 : OSworker 24/09/29
98 OS
누가 설정파일을 수정했는지 알고싶어요? 그럼 audit를 사용해보세요~!
OSworker 아이디로 검색 전체게시물 09-25 579
누가 설정파일을 수정했는지 알고싶어요? 그럼 audit를 사용해보세요~!

카테고리 : OS

579 0
작성자 : OSworker 24/09/25
Total 107건
게시물 검색
주식회사 클럭스| 대표 : 이찬호| 사업자등록번호 : 107-87-27655
주소 : 서울특별시 영등포구 국회대로 800, 여의도파라곤
E-mail : sales@chlux.co.kr
Copyright © 클럭스 chlux.co.kr All rights reserved.
상단으로Top