VNX:QualsysスキャンでQID 38738 - SSHサーバーの公開キーが小さすぎることを検出
Summary: VNX:QualsysスキャンでQID 38738 - SSHサーバーの公開キーが小さすぎる(ユーザー修正可能)が検出される
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Qualsysスキャンでは、次のQID:
QID 38738 - SSH Server Public Key Too Small:
"THREATが検出されます。SSHプロトコル(Secure Shell)は、あるコンピューターから別のコンピューターに安全にリモートログインする方法です。SSHサーバーは小さな公開キーを使用しています。ベスト プラクティスでは、適切なセキュリティを提供するために、RSA デジタル署名の長さを 2048 ビット以上にする必要があります。キーの長さ 1024 は 2013 年まで許容されますが、2011 年以降は非推奨と見なされます。詳細については、NIST Special Publication 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf)を参照してください
この QID では、証明書の一部ではないサーバー鍵のみが報告されます。短いキーを使用するOpenSSH証明書は、QID 38733で報告されます。短いキーを使用する X.509 証明書は、QID 38171 で報告されます。
対処法:DSAキーと2048ビットより短いRSAキーは脆弱と見なされます。2048ビット以上のRSA公開キーをインストールするか、ECDSAまたはEdDSAに切り替えることをお勧めします。
Cause
VNX Control Stationは2048ビットのRSAキーを使用しますが、DSAキーは1024ビットです。
Resolution
/etc/ssh/sshd_configの下のControl Stationキーを見ると、RSA公開キーとプライベート キーに2048ビットの署名があることがわかります:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub(RSA)
ただし、DSAキーは1024ビットのみです:
ssh-keygen-lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen-lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
1024ビットを超えるDSAキーはサポートされていません。解決策は通常、サーバーでDSAベースのキーを無効にすることです。ただし、このケースでは、Control Stationで古いOpenSSHバージョンが実行されているため、これは不可能です。サーバー側でDSAを無効にするオプションはHostKeyAlgorithmsであり、Control Stationで実行されているOpenSSLのバージョンには存在しません
このキーはクライアント/サーバー認証には使用されず、トラフィックの復号化には使用できません。known_hostsを通じてホストの信頼性を検証し、初期ハンドシェイクの確立を支援する場合にのみ使用されます。これは脆弱性とは見なされず、OpenSSLをHostKeyAlgorithmsオプションをサポートするバージョンにアップグレードする現在の計画はありません。現時点では、Control StationのSSHサーバでDSAホスト キーを無効にする方法がないため、スキャンで小さい方のキーが検出される原因を軽減する方法はありません。
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub(RSA)
ただし、DSAキーは1024ビットのみです:
ssh-keygen-lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen-lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
1024ビットを超えるDSAキーはサポートされていません。解決策は通常、サーバーでDSAベースのキーを無効にすることです。ただし、このケースでは、Control Stationで古いOpenSSHバージョンが実行されているため、これは不可能です。サーバー側でDSAを無効にするオプションはHostKeyAlgorithmsであり、Control Stationで実行されているOpenSSLのバージョンには存在しません
このキーはクライアント/サーバー認証には使用されず、トラフィックの復号化には使用できません。known_hostsを通じてホストの信頼性を検証し、初期ハンドシェイクの確立を支援する場合にのみ使用されます。これは脆弱性とは見なされず、OpenSSLをHostKeyAlgorithmsオプションをサポートするバージョンにアップグレードする現在の計画はありません。現時点では、Control StationのSSHサーバでDSAホスト キーを無効にする方法がないため、スキャンで小さい方のキーが検出される原因を軽減する方法はありません。
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.