VNX:Qualsys 扫描检测到 QID 38738 - SSH 服务器公钥太小
Summary: VNX:Qualsys 扫描检测到 QID 38738 - SSH 服务器公钥太小(用户可纠正)
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Qualsys 扫描检测到以下 QID:
QID 38738 - SSH Server Public Key Too Small:“
THREAT:SSH 协议 (Secure Shell) 是一种从一台计算机到另一台计算机进行安全远程登录的方法。SSH 服务器正在使用小型公钥。最佳做法要求 RSA 数字签名的长度为 2048 位或更多位,以提供足够的安全性。在 2013 年之前,1024 的密钥长度是可接受的,但自 2011 年以来,它们被视为已弃用。有关更多信息,请参阅 NIST 特别出版物 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf)。
此 QID 中仅报告不属于证书的服务器密钥。QID 38733中报告使用短密钥的 OpenSSH 证书。QID 38171 中报告使用短密钥的 X.509 证书。
解决方案:短于 2048 位的 DSA 密钥和 RSA 密钥容易受到攻击。建议安装长度至少为 2048 位或更高的 RSA 公钥,或者切换到 ECDSA 或 EdDSA。”
Cause
VNX 控制台使用 2048 位 RSA 密钥,但 DSA 密钥是 1024 位。
Resolution
查看 /etc/ssh/sshd_config 下的控制台密钥,我们可以看到 RSA 公钥和私钥具有 2048 位签名:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
但是,DSA 密钥只有 1024 位长:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
不支持 1024 位以上的 DSA 密钥,解决方案通常是在服务器上禁用基于 DSA 的密钥。但是,在我们的例子中,这是不可能的,因为控制台上运行的是较旧的 OpenSSH 版本。在服务器端禁用 DSA 的选项是 HostKeyAlgorithms,它在控制台上运行的 OpenSSL 版本中不存在。
此密钥不用于客户端/服务器身份验证,也不能用于解密流量。它仅用于通过known_hosts验证主机真实性,并协助建立初始握手。这不被视为漏洞,目前没有计划将 openSSL 升级到支持 HostKeyAlgorithms 选项的版本。目前无法在控制台的 SSH 服务器上禁用 DSA 主机密钥,因此无法缓解扫描检测到较小密钥的原因。
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
但是,DSA 密钥只有 1024 位长:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
不支持 1024 位以上的 DSA 密钥,解决方案通常是在服务器上禁用基于 DSA 的密钥。但是,在我们的例子中,这是不可能的,因为控制台上运行的是较旧的 OpenSSH 版本。在服务器端禁用 DSA 的选项是 HostKeyAlgorithms,它在控制台上运行的 OpenSSL 版本中不存在。
此密钥不用于客户端/服务器身份验证,也不能用于解密流量。它仅用于通过known_hosts验证主机真实性,并协助建立初始握手。这不被视为漏洞,目前没有计划将 openSSL 升级到支持 HostKeyAlgorithms 选项的版本。目前无法在控制台的 SSH 服务器上禁用 DSA 主机密钥,因此无法缓解扫描检测到较小密钥的原因。
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.