Avamar: Ve zprávě o kontrole zabezpečení se zobrazí informace "Veřejný klíč serveru SSH je příliš malý" a "Zastaralé kryptografické nastavení SSH"
Summary: V reportu o bezpečnostní kontrole jsou hlášeny chyby zabezpečení "Veřejný klíč serveru SSH je příliš malý" a "Zastaralé kryptografické nastavení SSH".
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Ve zprávě o kontrole zabezpečení byla nahlášena následující chyba zabezpečení.
Title: SSH Server Public Key Too Small
Results: Algorithm Length ssh-rsa 1024 bit
Threat: The SSH protocol (Secure Shell) is a method for secure remote login from one computer to another. The SSH Server is using a small Public Key.
Best practices require that RSA digital signatures be 2048 or more bits long to provide adequate security. Key lengths of 1024 are acceptable through 2013, but since 2011 they are considered deprecated.
For more information, please refer to NIST Special Publication 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
Only server keys that are not part of a certificate are reported in this QID.
QID: 38739
Title: Deprecated SSH Cryptographic Settings
Results: Type Name
key exchange diffie-hellman-group1-sha1
cipher arcfour256
cipher arcfour128
cipher 3des-cbc
cipher blowfish-cbc
cipher cast128-cbc
cipher arcfour
Threat: The target is using deprecated SSH cryptographic settings to communication
Cause
Skript SSH Veřejný klíč je ve výchozím nastavení nakonfigurovaný s 1024 bity namísto 2048 bitů a může používat zastaralý SSH Kryptografická nastavení.
Resolution
1. Přihlaste se k uzlu nástroje Avamar jako uživatel „admin“.
2. Zvýšení oprávnění na uživatele root.
3. Určete, které šifry lze použít:
cat /etc/ssh/sshd_config | grep -i ciphers
Ukázkový výstup:
# Ciphers and keying
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
4. Spuštěním následujícího příkazu potvrďte, které šifry se používají:
ssh -Q cipher
Ukázkový výstup:
3des-cbc
blowfish-cbc
cast128-cbc
arcfour
arcfour128
arcfour256
aes128-cbc
aes192-cbc
aes256-cbc
rijndael-cbc@lysator.liu.se
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com
5. Vytvořte záložní kopii /etc/ssh/sshd_config :
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.`date +%y%m%d`
6. Pomocí příkazu vi upravte /etc/ssh/sshd_config :
vi /etc/ssh/sshd_config
7. Proveďte následující změny:
a. Odeberte všechna zastaralá kryptografická nastavení SSH uvedená ve zprávě o kontrole zabezpečení. V tomto příkladu jsou uvedeny níže:
cipher arcfour256
cipher arcfour128
cipher 3des-cbc
cipher blowfish-cbc
cipher cast128-cbc
cipher arcfour
b. Změňte následující parametr z 1024 na 2048:
ServerKeyBits 2048
c. Odeberte komentáře na těchto řádcích, abyste určili, které klíče bude SSH používat:
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
8. Zkontrolujte velikost každého z těchto klíčů:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub
Ukázkový výstup:
2048 82:4e:33:4a:1f:e6:81:7f:ef:c7:4c:1f:c7:b2:ce:59 [MD5] root@linux-host1 (RSA)
ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub
Ukázkový výstup:
256 a9:2b:e7:0b:ab:0b:be:2f:d4:9b:6c:2d:6c:fb:3d:e9 [MD5] root@linux-host1 (ECDSA)
ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub
Ukázkový výstup:
256 65:c5:1e:1c:ac:a3:7c:05:90:21:a3:3c:7e:d6:d4:bd [MD5] root@linux-host1 (ED25519)
Pokud jsou velikosti (první číslo ve výstupu, zvýrazněné červeně) menší než výše uvedený výstup, je nutné vygenerovat nové klíče.
V případě potřeby spusťte příslušný příkaz pro klíč nebo klíče, které chcete vygenerovat:
sudo ssh-keygen -N '' -b 2048 -t rsa -f /etc/ssh/ssh_host_rsa_key
sudo ssh-keygen -N '' -b 256 -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key
sudo ssh-keygen -N '' -b 256 -t ed25519 -f /etc/ssh/ssh_host_ed25519_key
Potvrďte případné přepsání klíče:
Generating public/private rsa key pair.
/etc/ssh/ssh_host_rsa_key already exists.
Overwrite (y/n)? y
Your identification has been saved in /etc/ssh/ssh_host_rsa_key.
Your public key has been saved in /etc/ssh/ssh_host_rsa_key.pub.
The key fingerprint is:
47:60:91:14:b1:15:6e:6d:ea:e9:36:37:31:08:d3:69 root@vmtest-debian8
The key's randomart image is:
+---[RSA 2048]----+
| .B=o. |
| ..= . |
| ..+.o |
| ooEo |
| S+o. |
| o..o |
| o o |
| .o o |
| ..o . |
+-----------------+
9. Ověřte, že konfigurace neobsahuje žádné chyby:
sshd -t
Neměl by se zobrazit žádný výstup. Pokud se vyskytnou chyby, před pokračováním je opravte.
10. Restartujte systém sshd služba:
service sshd restart
11. Chcete-li zkontrolovat, které šifry jsou přijímány po použití těchto změn, spusťte následující příkaz pro každou šifru uvedenou výše:
ssh -c "cipher_name" localhost
-
- Pokud je šifra přijata, výstup by měl odpovídat dodatku A
- Pokud je šifra zamítnuta, výstup by se měl shodovat s dodatkem B
Additional Information
PŘÍLOHA A:
root@hostname:~/#: ssh -c "cipher_name" localhost
Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.
Last login: Mon Oct 1 14:05:28 2018 from XX.XX.XX.XXX
*****************************************************************
* *
* This is the Avamar Virtual Appliance *
* *
* Please read the documentation before performing *
* any administrative functions on this node. *
* For help, contact EMC at 877.534.2867 (USA only) or *
* https://support.emc.com. *
* *
*****************************************************************
root@hostname:~/#:
PŘÍLOHA B:
root@hostname:~/#: ssh -c "cipher_name" localhost
no matching cipher found: client "cipher_name" server valid_cipher, valid_cipher, valid_cipherAffected Products
Avamar, Avamar ServerArticle Properties
Article Number: 000050936
Article Type: Solution
Last Modified: 18 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.