Avamar: "SSH Server Public Key Too Small" och "Deprecated SSH Cryptographic Settings" rapporteras i en rapport om säkerhetsgenomsökning
Summary: Säkerhetsriskerna "SSH Server Public Key Too Small" och "Deprecated SSH Cryptographic Settings" rapporteras i en säkerhetsgenomsökningsrapport.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Följande säkerhetsrisk har rapporterats i säkerhetsgenomsökningsrapporten.
Title: SSH Server Public Key Too Small
Results: Algorithm Length ssh-rsa 1024 bit
Threat: The SSH protocol (Secure Shell) is a method for secure remote login from one computer to another. The SSH Server is using a small Public Key.
Best practices require that RSA digital signatures be 2048 or more bits long to provide adequate security. Key lengths of 1024 are acceptable through 2013, but since 2011 they are considered deprecated.
For more information, please refer to NIST Special Publication 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
Only server keys that are not part of a certificate are reported in this QID.
QID: 38739
Title: Deprecated SSH Cryptographic Settings
Results: Type Name
key exchange diffie-hellman-group1-sha1
cipher arcfour256
cipher arcfour128
cipher 3des-cbc
cipher blowfish-cbc
cipher cast128-cbc
cipher arcfour
Threat: The target is using deprecated SSH cryptographic settings to communication
Cause
Informationen SSH Public Key konfigureras som standard med 1024 bitar i stället för 2048 bitar och kan använda inaktuell SSH Kryptografiska inställningar.
Resolution
1. Logga in på Avamar-verktygsnoden som administratör.
2. Höj till rotprivilegium.
3. Avgöra vilka chiffer som kan användas:
cat /etc/ssh/sshd_config | grep -i ciphers
Exempel på utdata:
# Ciphers and keying
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
4. Kör följande kommando för att sedan bekräfta vilka chiffer som används:
ssh -Q cipher
Exempel på utdata:
3des-cbc
blowfish-cbc
cast128-cbc
arcfour
arcfour128
arcfour256
aes128-cbc
aes192-cbc
aes256-cbc
rijndael-cbc@lysator.liu.se
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com
5. Gör en säkerhetskopia av /etc/ssh/sshd_config fil:
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.`date +%y%m%d`
6. Med hjälp av vi redigerar du /etc/ssh/sshd_config fil:
vi /etc/ssh/sshd_config
7. Gör följande ändringar:
a. Ta bort de inaktuella kryptografiska SSH-inställningarna som anges i säkerhetsgenomsökningsrapporten. I det här exemplet är de som anges nedan:
cipher arcfour256
cipher arcfour128
cipher 3des-cbc
cipher blowfish-cbc
cipher cast128-cbc
cipher arcfour
b. Ändra följande parameter från 1024 till 2048:
ServerKeyBits 2048
c. Ta bort kommentarerna på dessa rader för att ange vilka nycklar SSH ska använda:
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
8. Kontrollera storleken på var och en av dessa nycklar:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub
Exempel på utdata:
2048 82:4e:33:4a:1f:e6:81:7f:ef:c7:4c:1f:c7:b2:ce:59 [MD5] root@linux-host1 (RSA)
ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub
Exempel på utdata:
256 a9:2b:e7:0b:ab:0b:be:2f:d4:9b:6c:2d:6c:fb:3d:e9 [MD5] root@linux-host1 (ECDSA)
ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub
Exempel på utdata:
256 65:c5:1e:1c:ac:a3:7c:05:90:21:a3:3c:7e:d6:d4:bd [MD5] root@linux-host1 (ED25519)
Om storlekarna (det första talet i utdata, markerat i rött) är lägre än utdata ovan måste nya nycklar genereras.
Om det behövs kör du tillämpligt kommando för nyckeln eller nycklarna som ska genereras:
sudo ssh-keygen -N '' -b 2048 -t rsa -f /etc/ssh/ssh_host_rsa_key
sudo ssh-keygen -N '' -b 256 -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key
sudo ssh-keygen -N '' -b 256 -t ed25519 -f /etc/ssh/ssh_host_ed25519_key
Bekräfta att alla viktiga överskrivningar görs:
Generating public/private rsa key pair.
/etc/ssh/ssh_host_rsa_key already exists.
Overwrite (y/n)? y
Your identification has been saved in /etc/ssh/ssh_host_rsa_key.
Your public key has been saved in /etc/ssh/ssh_host_rsa_key.pub.
The key fingerprint is:
47:60:91:14:b1:15:6e:6d:ea:e9:36:37:31:08:d3:69 root@vmtest-debian8
The key's randomart image is:
+---[RSA 2048]----+
| .B=o. |
| ..= . |
| ..+.o |
| ooEo |
| S+o. |
| o..o |
| o o |
| .o o |
| ..o . |
+-----------------+
9. Kontrollera att konfigurationen inte innehåller några fel:
sshd -t
Det ska inte finnas någon utdata. Om det finns fel korrigerar du dem innan du fortsätter.
10. Starta om sshd tjänst:
service sshd restart
11. Om du vill kontrollera vilka chiffer som accepteras när du har tillämpat dessa ändringar kör du följande kommando mot varje chiffer som angavs tidigare:
ssh -c "cipher_name" localhost
-
- Om chiffret accepteras bör utdata matcha bilaga A
- Om chiffret nekas bör utdata matcha bilaga B
Additional Information
BILAGA A:
root@hostname:~/#: ssh -c "cipher_name" localhost
Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.
Last login: Mon Oct 1 14:05:28 2018 from XX.XX.XX.XXX
*****************************************************************
* *
* This is the Avamar Virtual Appliance *
* *
* Please read the documentation before performing *
* any administrative functions on this node. *
* For help, contact EMC at 877.534.2867 (USA only) or *
* https://support.emc.com. *
* *
*****************************************************************
root@hostname:~/#:
BILAGA B:
root@hostname:~/#: ssh -c "cipher_name" localhost
no matching cipher found: client "cipher_name" server valid_cipher, valid_cipher, valid_cipherAffected Products
Avamar, Avamar ServerArticle Properties
Article Number: 000050936
Article Type: Solution
Last Modified: 18 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.