Авамар: Повідомляється про «Занадто малий відкритий ключ SSH-сервера» та «Застарілі параметри криптографії SSH» (Застарілі криптографічні параметри SSH) у звіті про сканування системи безпеки
Summary: Про вразливості "Занадто малий відкритий ключ SSH-сервера" та "Застарілі криптографічні налаштування SSH" повідомляються у звіті про сканування системи безпеки.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
У звіті про сканування системи безпеки було повідомлено про таку вразливість системи безпеки.
Title: SSH Server Public Key Too Small
Results: Algorithm Length ssh-rsa 1024 bit
Threat: The SSH protocol (Secure Shell) is a method for secure remote login from one computer to another. The SSH Server is using a small Public Key.
Best practices require that RSA digital signatures be 2048 or more bits long to provide adequate security. Key lengths of 1024 are acceptable through 2013, but since 2011 they are considered deprecated.
For more information, please refer to NIST Special Publication 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
Only server keys that are not part of a certificate are reported in this QID.
QID: 38739
Title: Deprecated SSH Cryptographic Settings
Results: Type Name
key exchange diffie-hellman-group1-sha1
cipher arcfour256
cipher arcfour128
cipher 3des-cbc
cipher blowfish-cbc
cipher cast128-cbc
cipher arcfour
Threat: The target is using deprecated SSH cryptographic settings to communication
Cause
Об'єкт SSH Відкритий ключ за замовчуванням налаштовано на 1024 біти замість 2048 бітів, і може використовуватися застарілий SSH Криптографічні налаштування.
Resolution
1. Увійдіть у вузол Avamar Utility Node як адміністратор.
2. Піднесіть до кореневого привілею.
3. Визначте, які шифри можуть бути використані:
cat /etc/ssh/sshd_config | grep -i ciphers
Приклад виходу:
# Ciphers and keying
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
4. Виконайте наступну команду, щоб потім підтвердити, які шифри використовуються:
ssh -Q cipher
Приклад виходу:
3des-cbc
blowfish-cbc
cast128-cbc
arcfour
arcfour128
arcfour256
aes128-cbc
aes192-cbc
aes256-cbc
rijndael-cbc@lysator.liu.se
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com
5. Зробіть резервну копію /etc/ssh/sshd_config файл:
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.`date +%y%m%d`
6. Використовуючи vi, відредагуйте файл /etc/ssh/sshd_config файл:
vi /etc/ssh/sshd_config
7. Внесіть такі зміни:
a. Видаліть усі застарілі криптографічні параметри SSH, перелічені у звіті про сканування системи безпеки. У цьому прикладі наведені нижче:
cipher arcfour256
cipher arcfour128
cipher 3des-cbc
cipher blowfish-cbc
cipher cast128-cbc
cipher arcfour
b. Змініть наступний параметр з 1024 на 2048:
ServerKeyBits 2048
c. Видаліть коментарі до цих рядків, щоб вказати, які ключі SSH збирається використовувати:
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
8. Перевірте розмір кожної з цих клавіш:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub
Приклад виходу:
2048 82:4e:33:4a:1f:e6:81:7f:ef:c7:4c:1f:c7:b2:ce:59 [MD5] root@linux-host1 (RSA)
ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub
Приклад виходу:
256 a9:2b:e7:0b:ab:0b:be:2f:d4:9b:6c:2d:6c:fb:3d:e9 [MD5] root@linux-host1 (ECDSA)
ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub
Приклад виходу:
256 65:c5:1e:1c:ac:a3:7c:05:90:21:a3:3c:7e:d6:d4:bd [MD5] root@linux-host1 (ED25519)
Якщо розміри (перше число у виведенні, виділене червоним) нижчі, ніж на виході вище, має бути створено нові ключі.
Якщо потрібно, запустіть відповідну команду для ключа або ключів для генерації:
sudo ssh-keygen -N '' -b 2048 -t rsa -f /etc/ssh/ssh_host_rsa_key
sudo ssh-keygen -N '' -b 256 -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key
sudo ssh-keygen -N '' -b 256 -t ed25519 -f /etc/ssh/ssh_host_ed25519_key
Підтвердьте перезапис ключа:
Generating public/private rsa key pair.
/etc/ssh/ssh_host_rsa_key already exists.
Overwrite (y/n)? y
Your identification has been saved in /etc/ssh/ssh_host_rsa_key.
Your public key has been saved in /etc/ssh/ssh_host_rsa_key.pub.
The key fingerprint is:
47:60:91:14:b1:15:6e:6d:ea:e9:36:37:31:08:d3:69 root@vmtest-debian8
The key's randomart image is:
+---[RSA 2048]----+
| .B=o. |
| ..= . |
| ..+.o |
| ooEo |
| S+o. |
| o..o |
| o o |
| .o o |
| ..o . |
+-----------------+
9. Переконайтеся, що конфігурація не містить помилок:
sshd -t
Виходу бути не повинно. Якщо є помилки, виправте їх, перш ніж продовжити.
10. Перезапустіть sshd служба:
service sshd restart
11. Щоб перевірити, які шифри приймаються після застосування цих змін, виконайте наступну команду для кожного шифру, переліченого раніше:
ssh -c "cipher_name" localhost
-
- Якщо шифр приймається, то вихідні дані повинні збігатися з додатком А
- Якщо шифр заперечується, то вихідні дані повинні збігатися з Додатком В
Additional Information
ДОДАТОК А:
root@hostname:~/#: ssh -c "cipher_name" localhost
Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.
Last login: Mon Oct 1 14:05:28 2018 from XX.XX.XX.XXX
*****************************************************************
* *
* This is the Avamar Virtual Appliance *
* *
* Please read the documentation before performing *
* any administrative functions on this node. *
* For help, contact EMC at 877.534.2867 (USA only) or *
* https://support.emc.com. *
* *
*****************************************************************
root@hostname:~/#:
ДОДАТОК Б:
root@hostname:~/#: ssh -c "cipher_name" localhost
no matching cipher found: client "cipher_name" server valid_cipher, valid_cipher, valid_cipherAffected Products
Avamar, Avamar ServerArticle Properties
Article Number: 000050936
Article Type: Solution
Last Modified: 18 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.