VNX:Qualsys 掃描偵測到 QID 38738 - SSH 伺服器公開金鑰太小
Summary: VNX:Qualsys 掃描偵測到 QID 38738 - SSH 伺服器公開金鑰太小 (使用者可修正)
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Qualsys 掃描偵測到下列 QID:
QID 38738 - SSH 伺服器公開金鑰太小:「
威脅:SSH 協定(安全外殼)是一種從一台電腦安全遠端登錄到另一台電腦的方法。SSH 伺服器正在使用小型公開金鑰。最佳做法要求 RSA 數位簽名長度為 2048 位或更多位,以提供足夠的安全性。密鑰長度 1024 在 2013 年之前是可以接受的,但自 2011 年以來,它們被視為已棄用。如需詳細資訊,請參閱 NIST Special Publication 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf)。
此 QID 中僅報告不屬於證書的伺服器金鑰。使用短金鑰的 OpenSSH 憑證會報告在 QID 38733 中。QID 38171 中報告使用短金鑰的 X.509 憑證。
解決方案:短於 2048 位元的 DSA 金鑰和 RSA 金鑰被視為易受攻擊。建議安裝長度至少為 2048 位或更大的 RSA 公鑰,或者切換到 ECDSA 或 EdDSA。
Cause
VNX 控制站使用 2048 位元 RSA 金鑰,但 DSA 金鑰為 1024 位元。
Resolution
查看 /etc/ssh/sshd_config 下的控制站金鑰,我們可以看到 RSA 公鑰和私鑰具有 2048 位簽名:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57 :4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
但是 DSA 金鑰長度只有 1024 位元:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d:B9:E3:E0:64:E2:5F:18:3C:8F:E5:4E:18:3A:87:CD ssh_host_dsa_key.pub (DSA)
不支援高於 1024 位元的 DSA 金鑰,解決方案通常是停用伺服器上的 DSA 金鑰。然而,在我們的案例中,這是不可能的,因為控制站上運行的 OpenSSH 版本較舊。在伺服器端停用 DSA 的選項為 HostKeyAlgorithms,且不存在於控制站上執行的 OpenSSL 版本中。
此金鑰不用於用戶端/伺服器身份驗證,不能用於解密流量。它僅用於透過known_hosts驗證主機真偽,並協助建立初始握手。這不被視為漏洞,目前也沒有計劃將 openSSL 升級到支援 HostKeyAlgorithms 選項的版本。目前無法在控制站的 SSH 伺服器上停用 DSA 主機金鑰,因此無法緩解掃描偵測到較小金鑰的原因。
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57 :4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
但是 DSA 金鑰長度只有 1024 位元:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d:B9:E3:E0:64:E2:5F:18:3C:8F:E5:4E:18:3A:87:CD ssh_host_dsa_key.pub (DSA)
不支援高於 1024 位元的 DSA 金鑰,解決方案通常是停用伺服器上的 DSA 金鑰。然而,在我們的案例中,這是不可能的,因為控制站上運行的 OpenSSH 版本較舊。在伺服器端停用 DSA 的選項為 HostKeyAlgorithms,且不存在於控制站上執行的 OpenSSL 版本中。
此金鑰不用於用戶端/伺服器身份驗證,不能用於解密流量。它僅用於透過known_hosts驗證主機真偽,並協助建立初始握手。這不被視為漏洞,目前也沒有計劃將 openSSL 升級到支援 HostKeyAlgorithms 選項的版本。目前無法在控制站的 SSH 伺服器上停用 DSA 主機金鑰,因此無法緩解掃描偵測到較小金鑰的原因。
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.