VNX: Сканування Qualsys виявляє QID 38738 - занадто малий відкритий ключ сервера SSH
Summary: VNX: Сканування Qualsys виявляє QID 38738 - занадто малий відкритий ключ сервера SSH (можна виправити користувачем)
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Сканування Qualsys виявляє наступний QID:
QID 38738 - занадто малий відкритий ключ сервера SSH:
"ЗАГРОЗА: Протокол SSH (Secure Shell) – це метод безпечного віддаленого входу з одного комп'ютера на інший. Сервер SSH використовує невеликий відкритий ключ. Найкращі практики вимагають, щоб цифрові підписи RSA були довжиною 2048 або більше бітів для забезпечення належної безпеки. Довжина ключа 1024 є прийнятною до 2013 року, але з 2011 року вона вважається застарілою. Для отримання додаткової інформації, будь ласка, зверніться до спеціальної публікації NIST 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
У цьому QID повідомляються лише ключі сервера, які не є частиною сертифіката. Сертифікати OpenSSH з використанням коротких ключів повідомляються в QID 38733. Сертифікати X.509 з використанням коротких ключів повідомляються в QID 38171.
РІШЕННЯ: Вразливими вважаються ключі DSA та ключі RSA, коротші за 2048 біт. Рекомендується встановити відкритий ключ RSA довжиною не менше 2048 біт або більше, або перейти на ECDSA або EdDSA.
Cause
На станції управління VNX використовується 2048-бітний ключ RSA, а ось ключ DSA має 1024 біта.
Resolution
Дивлячись на ключі станції керування під /etc/ssh/sshd_config ми можемо побачити, що відкритий ключ RSA та приватний ключ мають 2048-бітовий підпис:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
Однак ключ DSA має довжину лише 1024 біт:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
Ключі DSA вище 1024 біт не підтримуються, зазвичай рішенням було б вимкнути ключі на основі DSA на сервері. Однак у нашому випадку це неможливо через старішу версію OpenSSH, що працює на станції керування. Опція відключення DSA на стороні сервера - це HostKeyAlgorithms, і вона відсутня у версії OpenSSL, що працює на станції управління.
Цей ключ не використовується для автентифікації клієнта/сервера і не може використовуватися для розшифрування трафіку. Він використовується лише для перевірки автентичності хоста за допомогою known_hosts та допомоги у встановленні початкового рукостискання. Це не вважається вразливістю, і наразі немає планів щодо оновлення openSSL до версії, яка б підтримувала опцію HostKeyAlgorithms. На даний момент немає можливості відключити хост-ключ DSA на SSH-сервері станції управління, тому немає можливості пом'якшити причину сканування, виявивши менший ключ.
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
Однак ключ DSA має довжину лише 1024 біт:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
Ключі DSA вище 1024 біт не підтримуються, зазвичай рішенням було б вимкнути ключі на основі DSA на сервері. Однак у нашому випадку це неможливо через старішу версію OpenSSH, що працює на станції керування. Опція відключення DSA на стороні сервера - це HostKeyAlgorithms, і вона відсутня у версії OpenSSL, що працює на станції управління.
Цей ключ не використовується для автентифікації клієнта/сервера і не може використовуватися для розшифрування трафіку. Він використовується лише для перевірки автентичності хоста за допомогою known_hosts та допомоги у встановленні початкового рукостискання. Це не вважається вразливістю, і наразі немає планів щодо оновлення openSSL до версії, яка б підтримувала опцію HostKeyAlgorithms. На даний момент немає можливості відключити хост-ключ DSA на SSH-сервері станції управління, тому немає можливості пом'якшити причину сканування, виявивши менший ключ.
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.