News
Abstract
OpenSSH のバージョンアップを伴う AIX のバージョンアップ後に SSH サーバー(sshd) が起動せず、SSH でログインできなくなることがあります。
Content
OpenSSH はセキュリティ上の観点から、脆弱性のある暗号化方式や鍵交換アルゴリズムのサポートを停止することがあります。これらの暗号化方式等を使用する設定になっている場合、バージョンアップ後に sshd が起動しません。
AIX のバージョンアップ時にはバージョンアップ後の OpenSSH Level を確認し、sshd_config 内で当該バージョンでサポートしていない暗号化方式等を使用するような設定になっている場合は、その設定をあらかじめ削除しておいてください。
AIX のバージョンアップ時にはバージョンアップ後の OpenSSH Level を確認し、sshd_config 内で当該バージョンでサポートしていない暗号化方式等を使用するような設定になっている場合は、その設定をあらかじめ削除しておいてください。
OpenSSH のバージョンアップにあたり、サポートされなくなった暗号化方式などは、OpenSSH のリリースノート内「Potentially-incompatible changes」の項目で確認可能です。
AIX に同梱される OpenSSH のレベルについては以下を参考にしてください。
AIX に同梱される OpenSSH のレベルについては以下を参考にしてください。
|
OpenSSH Level
|
AIX Level
|
|
openssh.base.7.1
|
7200-02-00
|
|
openssh.base.7.5
|
7200-03-00
7200-04-00
|
|
openssh.base.8.1
|
7200-03-06 以降
7200-04-03 以降
7200-05-00 以降
7300-00
|
実際の環境ではバージョンが異なる場合もありますので、実際にバージョンアップする場合は実機をご確認ください。
AIX 上で OpenSSH の詳細なレベルを確認する場合は以下コマンドを使用します。
# lslpp -l openssh.base.server
Fileset Level State Description
----------------------------------------------------------------------------
Path: /usr/lib/objrepos
openssh.base.server 8.1.102.2104 COMMITTED Open Secure Shell Server
Path: /etc/objrepos
openssh.base.server 8.1.102.2104 COMMITTED Open Secure Shell Server
sshd が起動しなくなった場合の対処方法
事前に設定を削除していなかった場合は、sshd が起動せず、ssh でのログインが不可になります。この場合には、HMC の仮想ターミナル(vterm)経由で AIX に接続して sshd_config から問題となる設定を削除し、sshd を再起動します。
また、バージョンアップ作業前に telnet でのアクセスを許可するように設定しておき、問題なくsshd が起動したことを確認後に設定を戻すことも有効です。
また、バージョンアップ作業前に telnet でのアクセスを許可するように設定しておき、問題なくsshd が起動したことを確認後に設定を戻すことも有効です。
「sshd -t」オプションで sshd コマンドを実行することで、sshd_config 内の設定のうち、具体的にどの項目が問題になり得るのかを確認することが可能です。
実行例:
下記の例の場合、/etc/ssh/sshd_config の 122 行目にある'hmac-ripemd160'の設定が問題であることを示しています。
設定内容に問題がない場合は出力はありません。
下記の例の場合、/etc/ssh/sshd_config の 122 行目にある'hmac-ripemd160'の設定が問題であることを示しています。
設定内容に問題がない場合は出力はありません。
# sshd -t
/etc/ssh/sshd_config line 122: Bad SSH2 mac spec 'hmac-ripemd160'.
AIX のバージョンアップにより sshd が起動しなくなった例
現象 :
AIX 7.2 TL4 SP2 から AIX 7.2 TL5 SP1 へのアップグレード後に ssh ログインが不可になった。
原因 :
sshd_config に MACs エントリとして hmac-ripemd160 を追加していた。AIX 7.2 TL5 同梱の OpenSSH 8.1 では hmac-ripemd160 をサポートしていないため、sshd の起動に失敗した。
対応 :
vterm でログインし、sshd_config の MACs エントリを削除し sshd の再起動を実施した。
[{"Type":"MASTER","Line of Business":{"code":"LOB08","label":"Cognitive Systems"},"Business Unit":{"code":"BU058","label":"IBM Infrastructure w\/TPS"},"Product":{"code":"SWG10","label":"AIX"},"ARM Category":[{"code":"a8m0z000000cvzvAAA","label":"AIX Open Source-\u003EOPENSSH\/OPENSSL"}],"Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
06 December 2022
UID
ibm16841783