VNX: Skanowanie Qualsys wykrywa QID 38738 — zbyt mały klucz publiczny serwera SSH
Summary: VNX: Skanowanie Qualsys wykrywa QID 38738 — zbyt mały klucz publiczny serwera SSH (możliwość naprawienia przez użytkownika)
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Skanowanie Qualsys wykrywa następujący QID:
QID 38738 — zbyt mały klucz publiczny serwera SSH:
"THREAT: Protokół SSH (Secure Shell) to metoda bezpiecznego zdalnego logowania z jednego komputera na drugi. Serwer SSH używa małego klucza publicznego. Najlepsze praktyki wymagają, aby podpisy cyfrowe RSA miały długość 2048 lub więcej bitów, aby zapewnić odpowiednie bezpieczeństwo. Klucze o długości 1024 są dopuszczalne do 2013 r., ale od 2011 r. są uważane za przestarzałe. Więcej informacji można znaleźć w specjalnej publikacji NIST 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
W tym identyfikatorze QID zgłaszane są tylko klucze serwera, które nie są częścią certyfikatu. Certyfikaty OpenSSH używające skrótów są zgłaszane w QID 38733. Certyfikaty X.509 używające skrótów są zgłaszane w QID 38171.
ROZWIĄZANIE: Klucze DSA i RSA krótsze niż 2048 bitów są uważane za podatne na ataki. Zaleca się zainstalowanie klucza publicznego RSA o długości co najmniej 2048 bitów lub większej lub przejście na ECDSA lub EdDSA".
Cause
Stacja kontrolna VNX używa 2048-bitowego klucza RSA, ale klucz DSA ma 1024 bity.
Resolution
Patrząc na klucze stacji kontrolnej pod /etc/ssh/sshd_config widzimy, że klucz publiczny RSA i klucz prywatny mają podpis 2048-bitowy:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
Jednak klucz DSA ma tylko 1024 bity długości:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
Klucze DSA powyżej 1024 bitów nie są obsługiwane. Rozwiązaniem powinno być wyłączenie kluczy opartych na DSA na serwerze. Jednak w naszym przypadku nie jest to możliwe ze względu na starszą wersję OpenSSH działającą na stacji kontrolnej. Opcja wyłączenia DSA po stronie serwera to HostKeyAlgorithms, która nie jest dostępna w wersji OpenSSL działającej na stacji kontrolnej.
Ten klucz nie jest używany do uwierzytelniania klient/serwer i nie można go używać do odszyfrowywania ruchu. Służy tylko do weryfikacji autentyczności hosta za pomocą known_hosts i pomocy w ustanowieniu początkowego uzgadniania. Nie jest to uważane za lukę w zabezpieczeniach i nie ma obecnie planów uaktualnienia openSSL do wersji, która obsługiwałaby opcję HostKeyAlgorithms. W tej chwili nie ma możliwości wyłączenia klucza hosta DSA na serwerze SSH stacji sterującej, więc nie ma możliwości złagodzenia przyczyny wykrycia mniejszego klucza przez skanowanie.
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
Jednak klucz DSA ma tylko 1024 bity długości:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
Klucze DSA powyżej 1024 bitów nie są obsługiwane. Rozwiązaniem powinno być wyłączenie kluczy opartych na DSA na serwerze. Jednak w naszym przypadku nie jest to możliwe ze względu na starszą wersję OpenSSH działającą na stacji kontrolnej. Opcja wyłączenia DSA po stronie serwera to HostKeyAlgorithms, która nie jest dostępna w wersji OpenSSL działającej na stacji kontrolnej.
Ten klucz nie jest używany do uwierzytelniania klient/serwer i nie można go używać do odszyfrowywania ruchu. Służy tylko do weryfikacji autentyczności hosta za pomocą known_hosts i pomocy w ustanowieniu początkowego uzgadniania. Nie jest to uważane za lukę w zabezpieczeniach i nie ma obecnie planów uaktualnienia openSSL do wersji, która obsługiwałaby opcję HostKeyAlgorithms. W tej chwili nie ma możliwości wyłączenia klucza hosta DSA na serwerze SSH stacji sterującej, więc nie ma możliwości złagodzenia przyczyny wykrycia mniejszego klucza przez skanowanie.
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.