VNX: Qualsys scan detekuje QID 38738 – Veřejný klíč serveru SSH je příliš malý
Summary: VNX: Kontrola Qualsys detekuje QID 38738 – Veřejný klíč serveru SSH je příliš malý (oprava uživatelem)
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Qualsys scan zjišťuje následující QID:
QID 38738 – SSH Server Public Key Too Small:
"THREAT: Protokol SSH (Secure Shell) je metoda pro bezpečné vzdálené přihlášení z jednoho počítače do druhého. Server SSH používá malý veřejný klíč. Osvědčené postupy vyžadují, aby digitální podpisy RSA měly délku 2048 nebo více bitů, aby bylo zajištěno odpovídající zabezpečení. Délky klíčů 1024 jsou přijatelné až do roku 2013, ale od roku 2011 jsou považovány za zastaralé. Další informace naleznete ve zvláštní publikaci NIST 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
V tomto QID jsou hlášeny pouze klíče serveru, které nejsou součástí certifikátu. Certifikáty OpenSSH používající krátké klíče jsou uvedeny v QID 38733. Certifikáty X.509 používající krátké klíče jsou hlášeny v QID 38171.
ŘEŠENÍ: Klíče DSA a RSA kratší než 2048 bitů jsou považovány za zranitelné. Doporučuje se nainstalovat veřejný klíč RSA o délce alespoň 2048 bitů nebo větší nebo přejít na ECDSA nebo EdDSA."
Cause
Řídicí stanice VNX používá 2048bitový klíč RSA, ale klíč DSA je 1024bitový.
Resolution
Podíváme-li se na klíče řídicí stanice v /etc/ssh/sshd_config vidíme, že veřejný klíč RSA a soukromý klíč mají 2048bitovou signaturu:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
Klíč DSA je však dlouhý pouze 1024 bitů:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
Klíče DSA nad 1024 bitů nejsou podporovány, řešením by obvykle bylo zakázat klíče založené na DSA na serveru. V našem případě to však není možné kvůli starší verzi OpenSSH běžící na řídicí stanici. Možnost zakázat DSA na straně serveru je HostKeyAlgorithms a není k dispozici ve verzi OpenSSL spuštěné na řídicí stanici.
Tento klíč se nepoužívá k ověřování klienta/serveru a nelze jej použít k dešifrování provozu. Používá se pouze k ověření pravosti hostitele prostřednictvím known_hosts a pomáhá při vytváření počátečního handshake. Nejedná se o chybu zabezpečení a v současné době se neplánuje upgrade openSSL na verzi, která by podporovala možnost HostKeyAlgorithms. V tuto chvíli neexistuje způsob, jak deaktivovat klíč hostitele DSA na SSH serveru řídicí stanice, takže neexistuje způsob, jak zmírnit příčinu skenování detekující menší klíč.
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
Klíč DSA je však dlouhý pouze 1024 bitů:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
Klíče DSA nad 1024 bitů nejsou podporovány, řešením by obvykle bylo zakázat klíče založené na DSA na serveru. V našem případě to však není možné kvůli starší verzi OpenSSH běžící na řídicí stanici. Možnost zakázat DSA na straně serveru je HostKeyAlgorithms a není k dispozici ve verzi OpenSSL spuštěné na řídicí stanici.
Tento klíč se nepoužívá k ověřování klienta/serveru a nelze jej použít k dešifrování provozu. Používá se pouze k ověření pravosti hostitele prostřednictvím known_hosts a pomáhá při vytváření počátečního handshake. Nejedná se o chybu zabezpečení a v současné době se neplánuje upgrade openSSL na verzi, která by podporovala možnost HostKeyAlgorithms. V tuto chvíli neexistuje způsob, jak deaktivovat klíč hostitele DSA na SSH serveru řídicí stanice, takže neexistuje způsob, jak zmírnit příčinu skenování detekující menší klíč.
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.