VNX: El escaneo de Qualsys detecta QID 38738: la clave pública del servidor SSH es demasiado pequeña
Summary: VNX: El análisis de Qualsys detecta QID 38738: clave pública del servidor SSH demasiado pequeña (corregible por el usuario)
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
El análisis de Qualsys detecta lo siguiente QID:
QID 38738 - SSH Server Public Key Too Small:
"THREAT: El protocolo SSH (Secure Shell) es un método para el inicio de sesión remoto seguro de una computadora a otra. El servidor SSH utiliza una clave pública pequeña. Las prácticas recomendadas requieren que las firmas digitales de RSA tengan una longitud de 2048 bits o más para proporcionar una seguridad adecuada. Las longitudes de clave de 1024 son aceptables hasta 2013, pero desde 2011 se consideran obsoletas. Para obtener más información, consulte la publicación especial 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf) del NIST.
Solo se informan en este QID las claves de servidor que no forman parte de un certificado. Los certificados OpenSSH que utilizan claves cortas se informan en QID 38733. Los certificados X.509 que utilizan claves cortas se informan en QID 38171.
SOLUCIÓN: Las claves DSA y RSA inferiores a 2048 bits se consideran vulnerables. Se recomienda instalar una longitud de clave pública de RSA de al menos 2048 bits o más, o cambiar a ECDSA o EdDSA".
Cause
VNX Control Station utiliza una clave RSA de 2048 bits, pero la clave DSA es de 1024 bits.
Resolution
Si observamos las claves de Control Station en /etc/ssh/sshd_config podemos ver que la clave pública y la clave privada RSA tienen una firma de 2048 bits:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
Sin embargo, la clave DSA tiene solo 1024 bits de longitud:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd Las claves ssh_host_dsa_key.pub (DSA)
DSA superiores a 1024 bits no son compatibles; la solución normalmente sería deshabilitar las claves basadas en DSA en el servidor. Sin embargo, en nuestro caso, esto no es posible debido a la versión anterior de OpenSSH que se ejecuta en Control Station. La opción para deshabilitar DSA en el lado del servidor es HostKeyAlgorithms y no está presente en la versión de OpenSSL que se ejecuta en Control Station.
Esta clave no se utiliza para la autenticación de cliente/servidor y no se puede utilizar para descifrar el tráfico. Solo se utiliza para verificar la autenticidad del host a través de known_hosts y ayudar a establecer el protocolo de enlace inicial. Esto no se considera una vulnerabilidad y no hay planes actuales para actualizar openSSL a una versión que admita la opción HostKeyAlgorithms. Por el momento, no hay manera de deshabilitar la clave de host DSA en el servidor SSH de Control Station, por lo que no hay manera de mitigar la causa del escaneo que detecta la clave más pequeña.
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
Sin embargo, la clave DSA tiene solo 1024 bits de longitud:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd Las claves ssh_host_dsa_key.pub (DSA)
DSA superiores a 1024 bits no son compatibles; la solución normalmente sería deshabilitar las claves basadas en DSA en el servidor. Sin embargo, en nuestro caso, esto no es posible debido a la versión anterior de OpenSSH que se ejecuta en Control Station. La opción para deshabilitar DSA en el lado del servidor es HostKeyAlgorithms y no está presente en la versión de OpenSSL que se ejecuta en Control Station.
Esta clave no se utiliza para la autenticación de cliente/servidor y no se puede utilizar para descifrar el tráfico. Solo se utiliza para verificar la autenticidad del host a través de known_hosts y ayudar a establecer el protocolo de enlace inicial. Esto no se considera una vulnerabilidad y no hay planes actuales para actualizar openSSL a una versión que admita la opción HostKeyAlgorithms. Por el momento, no hay manera de deshabilitar la clave de host DSA en el servidor SSH de Control Station, por lo que no hay manera de mitigar la causa del escaneo que detecta la clave más pequeña.
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.