VNX. Qualsys при сканировании обнаруживает QID 38738 — слишком маленький открытый ключ сервера SSH
Summary: VNX. Qualsys при сканировании обнаруживает QID 38738 — слишком маленький открытый ключ сервера SSH (исправляется пользователем)
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Qualsys при сканировании обнаруживает следующий QID:
QID 38738 — SSH Server Public Key Too Small:
"THREAT: Протокол SSH (Secure Shell) — это метод безопасного удаленного входа с одного компьютера на другой. Сервер SSH использует небольшой открытый ключ. Согласно передовым практикам, цифровые подписи RSA должны иметь длину 2048 бит или более для обеспечения надлежащей безопасности. Длина ключа 1024 является допустимой до 2013 года, но с 2011 года она считается устаревшей. Для получения дополнительной информации, пожалуйста, обратитесь к специальной публикации NIST 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
В этом QID сообщаются только ключи сервера, которые не являются частью сертификата. Сертификаты OpenSSH, использующие короткие ключи, указаны в QID 38733. Сертификаты X.509 с использованием коротких ключей указаны в QID 38171.
РЕШЕНИЕ: Ключи DSA и RSA длиной менее 2048 бит считаются уязвимыми. Рекомендуется установить открытый ключ RSA длиной не менее 2048 бит или больше либо перейти на ECDSA или EdDSA».
Cause
Управляющая станция VNX использует 2048-разрядный ключ RSA, а ключ DSA — 1024-разрядный.
Resolution
Взглянув на ключи управляющей станции в /etc/ssh/sshd_config, мы видим, что открытый ключ и закрытый ключ RSA имеют 2048-битную подпись:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)Однако
ключ DSA имеет длину всего 1024 бита:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
Ключи DSA выше 1024 бит не поддерживаются, обычно решением является отключение ключей на основе DSA на сервере. Однако в нашем случае это невозможно из-за более старой версии OpenSSH, работающей на управляющей станции. Для отключения DSA на стороне сервера используется функция HostKeyAlgorithms, и она отсутствует в версии OpenSSL, запущенной на управляющей станции.
Этот ключ не используется для аутентификации клиента/сервера и не может быть использован для расшифровки трафика. Он используется только для проверки подлинности хоста с помощью known_hosts и помощи в установлении первоначального подтверждения подключения. Это не считается уязвимостью, и в настоящее время нет планов по обновлению openSSL до версии, которая поддерживала бы параметр HostKeyAlgorithms. В настоящее время невозможно отключить ключ хоста DSA на сервере SSH управляющей станции, поэтому нет способа устранить причину, по которой выполняется сканирование путем обнаружения меньшего ключа.
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)Однако
ключ DSA имеет длину всего 1024 бита:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
Ключи DSA выше 1024 бит не поддерживаются, обычно решением является отключение ключей на основе DSA на сервере. Однако в нашем случае это невозможно из-за более старой версии OpenSSH, работающей на управляющей станции. Для отключения DSA на стороне сервера используется функция HostKeyAlgorithms, и она отсутствует в версии OpenSSL, запущенной на управляющей станции.
Этот ключ не используется для аутентификации клиента/сервера и не может быть использован для расшифровки трафика. Он используется только для проверки подлинности хоста с помощью known_hosts и помощи в установлении первоначального подтверждения подключения. Это не считается уязвимостью, и в настоящее время нет планов по обновлению openSSL до версии, которая поддерживала бы параметр HostKeyAlgorithms. В настоящее время невозможно отключить ключ хоста DSA на сервере SSH управляющей станции, поэтому нет способа устранить причину, по которой выполняется сканирование путем обнаружения меньшего ключа.
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.