VNX: A verificação Qualsys detecta QID 38738 - Chave pública do servidor SSH muito pequena
Summary: VNX: A varredura Qualsys detecta QID 38738 - Chave pública do servidor SSH muito pequena (corrigível pelo usuário)
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
A varredura Qualsys detecta o seguinte QID:
QID 38738 - SSH Server Public Key Too Small:
"THREAT: O protocolo SSH (Secure Shell) é um método de log-in remoto seguro de um computador para outro. O servidor SSH está usando uma pequena chave pública. As práticas recomendadas exigem que as assinaturas digitais RSA tenham 2048 bits ou mais para fornecer segurança adequada. Os comprimentos-chave de 1024 são aceitáveis até 2013, mas desde 2011 são considerados obsoletos. Para obter mais informações, consulte a Publicação Especial NIST 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
Somente as chaves de servidor que não fazem parte de um certificado são relatadas neste QID. Os certificados OpenSSH que usam chaves curtas são relatados no QID 38733. Certificados X.509 usando chaves curtas são relatados no QID 38171.
SOLUÇÃO: Chaves DSA e RSA com menos de 2.048 bits são consideradas vulneráveis. É recomendável instalar um comprimento de chave pública RSA de pelo menos 2.048 bits ou superior, ou alternar para ECDSA ou EdDSA."
Cause
A Control Station do VNX usa uma chave RSA de 2048 bits, mas a chave DSA é de 1024 bits.
Resolution
Olhando para as chaves de estação de controle em /etc/ssh/sshd_config podemos ver que a chave pública RSA e a chave privada têm uma assinatura de 2048 bits:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
No entanto, a chave DSA tem apenas 1024 bits de comprimento:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
Chaves DSA acima de 1024 bits não são suportadas, a solução normalmente seria desativar as chaves baseadas em DSA no servidor. No entanto, no nosso caso, isso não é possível devido à versão mais antiga do OpenSSH em execução na estação de controle. A opção para desativar o DSA no lado do servidor é HostKeyAlgorithms, e ela não está presente na versão do OpenSSL em execução na estação de controle.
Essa chave não é usada para autenticação de client/servidor e não pode ser usada para descriptografar o tráfego. Ele é usado apenas para verificar a autenticidade do host por meio de known_hosts e ajudar a estabelecer o handshake inicial. Isso não é considerado uma vulnerabilidade, e não há planos atuais para atualizar o openSSL para uma versão compatível com a opção HostKeyAlgorithms. No momento, não há como desativar a chave de host DSA no servidor SSH da estação de controle, portanto, não há como mitigar a causa da varredura detectando a chave menor.
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
No entanto, a chave DSA tem apenas 1024 bits de comprimento:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
Chaves DSA acima de 1024 bits não são suportadas, a solução normalmente seria desativar as chaves baseadas em DSA no servidor. No entanto, no nosso caso, isso não é possível devido à versão mais antiga do OpenSSH em execução na estação de controle. A opção para desativar o DSA no lado do servidor é HostKeyAlgorithms, e ela não está presente na versão do OpenSSL em execução na estação de controle.
Essa chave não é usada para autenticação de client/servidor e não pode ser usada para descriptografar o tráfego. Ele é usado apenas para verificar a autenticidade do host por meio de known_hosts e ajudar a estabelecer o handshake inicial. Isso não é considerado uma vulnerabilidade, e não há planos atuais para atualizar o openSSL para uma versão compatível com a opção HostKeyAlgorithms. No momento, não há como desativar a chave de host DSA no servidor SSH da estação de controle, portanto, não há como mitigar a causa da varredura detectando a chave menor.
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.