VNX: Qualsys-tarkistus havaitsee QID 38738 - SSH-palvelimen julkinen avain on liian pieni
Summary: VNX: Qualsys-tarkistus havaitsee QID 38738 - SSH-palvelimen julkinen avain on liian pieni (käyttäjän korjattavissa)
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Qualsys-tarkistus havaitsee seuraavan QID:
QID 38738 - SSH Server Public Key Too Small:
"THREAT: SSH-protokolla (Secure Shell) on menetelmä turvalliseen etäkirjautumiseen tietokoneesta toiseen. SSH-palvelin käyttää pientä julkista avainta. Parhaat käytännöt edellyttävät, että RSA:n digitaaliset allekirjoitukset ovat vähintään 2048 bittiä pitkiä, jotta ne tarjoavat riittävän suojauksen. Avainpituudet 1024 ovat hyväksyttäviä vuoteen 2013 asti, mutta vuodesta 2011 lähtien niitä pidetään vanhentuneina. Lisätietoja on NIST:n erikoisjulkaisussa 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
Tässä QID:ssä raportoidaan vain sellaiset palvelinavaimet, jotka eivät ole osa varmennetta. Lyhyitä avaimia käyttävät OpenSSH-varmenteet raportoidaan QID 38733:ssa. Lyhyitä avaimia käyttävät X.509-varmenteet ilmoitetaan QID 38171:ssä.
RATKAISU: DSA-avaimia ja RSA-avaimia, joiden pituus on alle 2048 bittiä, pidetään haavoittuvina. On suositeltavaa asentaa RSA:n julkisen avaimen pituus, jonka pituus on vähintään 2048 bittiä, tai vaihtaa ECDSA:han tai EdDSA:han."
Cause
VNX-ohjausasema käyttää 2048-bittistä RSA-avainta, mutta DSA-avain on 1024-bittinen.
Resolution
Tarkasteltaessa ohjausaseman avaimia kohdassa /etc/ssh/sshd_config voimme nähdä, että RSA: n julkisella avaimella ja yksityisellä avaimella on 2048-bittinen allekirjoitus:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
DSA-avain on kuitenkin vain 1024 bittiä pitkä:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
Yli 1024-bittisiä DSA-avaimia ei tueta. Yleensä ratkaisu on poistaa DSA-pohjaiset avaimet käytöstä palvelimessa. Meidän tapauksessamme tämä ei kuitenkaan ole mahdollista, koska vanhempi OpenSSH-versio toimii ohjausasemalla. Mahdollisuus poistaa DSA käytöstä palvelinpuolella on HostKeyAlgorithms, eikä sitä ole ohjausasemassa käynnissä olevassa OpenSSL-versiossa.
Tätä avainta ei käytetä asiakas-/palvelintodennukseen eikä sitä voi käyttää liikenteen salauksen purkamiseen. Sitä käytetään vain isännän aitouden tarkistamiseen known_hosts avulla ja auttamaan ensimmäisen kädenpuristuksen muodostamisessa. Tätä ei pidetä haavoittuvuutena, eikä openSSL:ää ole tarkoitus päivittää versioon, joka tukisi HostKeyAlgorithms-vaihtoehtoa. Tällä hetkellä ei ole mitään keinoa poistaa DSA-isäntäavainta käytöstä ohjausaseman SSH-palvelimessa, joten ei ole mitään keinoa lieventää pienemmän avaimen havaitsemisen syytä.
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
DSA-avain on kuitenkin vain 1024 bittiä pitkä:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
Yli 1024-bittisiä DSA-avaimia ei tueta. Yleensä ratkaisu on poistaa DSA-pohjaiset avaimet käytöstä palvelimessa. Meidän tapauksessamme tämä ei kuitenkaan ole mahdollista, koska vanhempi OpenSSH-versio toimii ohjausasemalla. Mahdollisuus poistaa DSA käytöstä palvelinpuolella on HostKeyAlgorithms, eikä sitä ole ohjausasemassa käynnissä olevassa OpenSSL-versiossa.
Tätä avainta ei käytetä asiakas-/palvelintodennukseen eikä sitä voi käyttää liikenteen salauksen purkamiseen. Sitä käytetään vain isännän aitouden tarkistamiseen known_hosts avulla ja auttamaan ensimmäisen kädenpuristuksen muodostamisessa. Tätä ei pidetä haavoittuvuutena, eikä openSSL:ää ole tarkoitus päivittää versioon, joka tukisi HostKeyAlgorithms-vaihtoehtoa. Tällä hetkellä ei ole mitään keinoa poistaa DSA-isäntäavainta käytöstä ohjausaseman SSH-palvelimessa, joten ei ole mitään keinoa lieventää pienemmän avaimen havaitsemisen syytä.
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.