VNX: Qualsys-sökning upptäcker QID 38738 – SSH-serverns offentliga nyckel är för liten
Summary: VNX: Qualsys-skanning upptäcker QID 38738 – SSH-serverns offentliga nyckel är för liten (kan korrigeras av användaren)
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Qualsys-skanningen upptäcker följande QID:
QID 38738 – SSH-serverns offentliga nyckel är för liten:
"HOT: SSH-protokollet (Secure Shell) är en metod för säker fjärrinloggning från en dator till en annan. SSH-servern använder en liten offentlig nyckel. Bästa praxis kräver att digitala RSA-signaturer är 2048 eller fler bitar långa för att ge tillräcklig säkerhet. Nyckellängder på 1024 är acceptabla till och med 2013, men sedan 2011 anses de vara inaktuella. Mer information finns i NIST Special Publication 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
Endast servernycklar som inte ingår i ett certifikat rapporteras i detta QID. OpenSSH-certifikat som använder kortnycklar rapporteras i QID 38733. X.509-certifikat som använder kortnycklar rapporteras i QID 38171.
LÖSNING: DSA-nycklar och RSA-nycklar som är kortare än 2048 bitar anses vara sårbara. Vi rekommenderar att du installerar en offentlig RSA-nyckel med en längd på minst 2 048 bitar eller mer, eller att du byter till ECDSA eller EdDSA."
Cause
VNX-kontrollstationen använder en 2048-bitars RSA-nyckel, men DSA-nyckeln är 1024-bitars.
Resolution
Om vi tittar på kontrollstationens nycklar under /etc/ssh/sshd_config kan vi se att den offentliga RSA-nyckeln och den privata nyckeln har en 2048-bitars signatur:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
DSA-nyckeln är dock bara 1024 bitar lång:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)DSA-nycklar
över 1024 bitar stöds inte, skulle lösningen normalt vara att inaktivera DSA-baserade nycklar på servern. I vårt fall är detta dock inte möjligt på grund av den äldre OpenSSH-versionen som körs på kontrollstationen. Alternativet att inaktivera DSA på serversidan är HostKeyAlgorithms, och det finns inte i den version av OpenSSL som körs på kontrollstationen.
Den här nyckeln används inte för klient-/serverautentisering och kan inte användas för att dekryptera trafik. Den används endast för att verifiera värdens äkthet genom known_hosts och hjälpa till att upprätta den första handskakningen. Detta betraktas inte som en sårbarhet och det finns för närvarande inga planer på att uppgradera openSSL till en version som stöder alternativet HostKeyAlgorithms. För närvarande finns det inget sätt att inaktivera DSA-värdnyckeln på kontrollstationens SSH-server, så det finns inget sätt att mildra orsaken till att skanningen upptäcker den mindre nyckeln.
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
DSA-nyckeln är dock bara 1024 bitar lång:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)DSA-nycklar
över 1024 bitar stöds inte, skulle lösningen normalt vara att inaktivera DSA-baserade nycklar på servern. I vårt fall är detta dock inte möjligt på grund av den äldre OpenSSH-versionen som körs på kontrollstationen. Alternativet att inaktivera DSA på serversidan är HostKeyAlgorithms, och det finns inte i den version av OpenSSL som körs på kontrollstationen.
Den här nyckeln används inte för klient-/serverautentisering och kan inte användas för att dekryptera trafik. Den används endast för att verifiera värdens äkthet genom known_hosts och hjälpa till att upprätta den första handskakningen. Detta betraktas inte som en sårbarhet och det finns för närvarande inga planer på att uppgradera openSSL till en version som stöder alternativet HostKeyAlgorithms. För närvarande finns det inget sätt att inaktivera DSA-värdnyckeln på kontrollstationens SSH-server, så det finns inget sätt att mildra orsaken till att skanningen upptäcker den mindre nyckeln.
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.