VNX: Qualsys-scanning registrerer QID 38738 – SSH-serverens offentlige nøgle er for lille
Summary: VNX: Qualsys-scanning registrerer QID 38738 – SSH-serverens offentlige nøgle er for lille (kan rettes af brugeren)
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Qualsys-scanning registrerer følgende QID:
QID 38738 – SSH-serverens offentlige nøgle er for lille:
"TRUSSEL: SSH-protokollen (Secure Shell) er en metode til sikker fjernlogin fra en computer til en anden. SSH-serveren bruger en lille offentlig nøgle. Bedste praksis kræver, at RSA digitale signaturer er 2048 eller flere bit lange for at give tilstrækkelig sikkerhed. Nøglelængder på 1024 er acceptable til og med 2013, men siden 2011 betragtes de som udfasede. Yderligere oplysninger findes i NIST Special Publication 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
Kun servernøgler, der ikke er en del af et certifikat, rapporteres i dette QID. OpenSSH-certifikater, der bruger korte nøgler, rapporteres i QID 38733. X.509-certifikater, der anvender korte nøgler, rapporteres i QID 38171.
LØSNING: DSA-nøgler og RSA-nøgler, der er kortere end 2048 bit, betragtes som sårbare. Det anbefales at installere en offentlig RSA-nøglelængde på mindst 2048 bit eller derover eller at skifte til ECDSA eller EdDSA."
Cause
VNX-kontrolstationen bruger en 2048 bit RSA-nøgle, men DSA-nøglen er 1024 bit.
Resolution
Når vi ser på kontrolstationstasterne under /etc/ssh/sshd_config kan vi se, at RSA's offentlige nøgle og private nøgle har en 2048 bit signatur:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
DSA-nøglen er dog kun 1024 bit lang:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)DSA-nøgler
over 1024 bit understøttes ikke, løsningen vil normalt være at deaktivere DSA-baserede nøgler på serveren. I vores tilfælde er dette imidlertid ikke muligt på grund af den ældre OpenSSH-version, der kører på kontrolstationen. Indstillingen til at deaktivere DSA på serversiden er HostKeyAlgorithms, og den findes ikke i den version af OpenSSL, der kører på kontrolstationen.
Denne nøgle bruges ikke til klient/server-godkendelse og kan ikke bruges til at dekryptere trafik. Det bruges kun til at bekræfte værtens ægthed gennem known_hosts og hjælpe med at etablere det første håndtryk. Dette betragtes ikke som en sårbarhed, og der er ingen aktuelle planer om at opgradere openSSL til en version, der understøtter indstillingen HostKeyAlgorithms. I øjeblikket er der ingen måde at deaktivere DSA-værtsnøglen på kontrolstationens SSH-server, så der er ingen måde at afbøde årsagen til, at scanningen registrerer den mindre nøgle.
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
DSA-nøglen er dog kun 1024 bit lang:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)DSA-nøgler
over 1024 bit understøttes ikke, løsningen vil normalt være at deaktivere DSA-baserede nøgler på serveren. I vores tilfælde er dette imidlertid ikke muligt på grund af den ældre OpenSSH-version, der kører på kontrolstationen. Indstillingen til at deaktivere DSA på serversiden er HostKeyAlgorithms, og den findes ikke i den version af OpenSSL, der kører på kontrolstationen.
Denne nøgle bruges ikke til klient/server-godkendelse og kan ikke bruges til at dekryptere trafik. Det bruges kun til at bekræfte værtens ægthed gennem known_hosts og hjælpe med at etablere det første håndtryk. Dette betragtes ikke som en sårbarhed, og der er ingen aktuelle planer om at opgradere openSSL til en version, der understøtter indstillingen HostKeyAlgorithms. I øjeblikket er der ingen måde at deaktivere DSA-værtsnøglen på kontrolstationens SSH-server, så der er ingen måde at afbøde årsagen til, at scanningen registrerer den mindre nøgle.
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.