VNX: Qualsys 검사에서 QID 38738 감지 - SSH 서버 공개 키가 너무 작음
Summary: VNX: Qualsys 검사에서 QID 38738 감지 - SSH 서버 공개 키가 너무 작음(사용자 수정 가능)
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Qualsys 검사에서 다음 QID:
QID 38738 - SSH 서버 공개 키가 너무 작음:"THREAT:
SSH 프로토콜(Secure Shell)은 한 컴퓨터에서 다른 컴퓨터로 안전하게 원격 로그인하는 방법입니다. SSH 서버가 작은 공개 키를 사용하고 있습니다. 모범 사례에 따르면 RSA 디지털 서명은 적절한 보안을 제공하기 위해 2048비트 이상이어야 합니다. 1024의 키 길이는 2013년까지 허용되지만 2011년부터는 더 이상 사용되지 않는 것으로 간주됩니다. 자세한 내용은 NIST 특별 간행물 800-131A(http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf)를 참조하십시오.
인증서의 일부가 아닌 서버 키만 이 QID에 보고됩니다. 바로 가기 키를 사용하는 OpenSSH 인증서는 QID 38733에 보고되었습니다. 단축 키를 사용하는 X.509 인증서는 QID 38171에 보고되었습니다.
해결 방법: DSA 키와 2048비트보다 짧은 RSA 키는 취약한 것으로 간주됩니다. 최소 2048비트 이상의 RSA 공개 키를 설치하거나 ECDSA 또는 EdDSA로 전환하는 것이 좋습니다."
Cause
VNX Control Station은 2048비트 RSA 키를 사용하지만 DSA 키는 1024비트입니다.
Resolution
/etc/ssh/sshd_config 아래의 컨트롤 스테이션 키를 살펴보면 RSA 공개 키와 개인 키에 2048비트 서명이 있음을 알 수 있습니다.
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
그러나 DSA 키의 길이는 1024비트에 불과합니다.:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
1024비트를 초과하는 DSA 키는 지원되지 않으며, 해결 방법은 일반적으로 서버에서 DSA 기반 키를 사용하지 않도록 설정하는 것입니다. 그러나 우리의 경우 컨트롤 스테이션에서 실행 중인 이전 OpenSSH 버전 때문에 불가능합니다. 서버 측에서 DSA를 비활성화하는 옵션은 HostKeyAlgorithms이며 Control Station에서 실행되는 OpenSSL 버전에는 없습니다.
이 키는 클라이언트/서버 인증에 사용되지 않으며 트래픽의 암호를 해독하는 데 사용할 수 없습니다. known_hosts 통해 호스트 신뢰성을 확인하고 초기 핸드셰이크를 설정하는 데만 사용됩니다. 이는 취약점으로 간주되지 않으며 현재 OpenSSL을 HostKeyAlgorithms 옵션을 지원하는 버전으로 업그레이드할 계획이 없습니다. 현재로서는 컨트롤 스테이션의 SSH 서버에서 DSA 호스트 키를 비활성화할 수 있는 방법이 없으므로 더 작은 키를 감지하는 스캔의 원인을 완화할 수 있는 방법이 없습니다.
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
그러나 DSA 키의 길이는 1024비트에 불과합니다.:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
1024비트를 초과하는 DSA 키는 지원되지 않으며, 해결 방법은 일반적으로 서버에서 DSA 기반 키를 사용하지 않도록 설정하는 것입니다. 그러나 우리의 경우 컨트롤 스테이션에서 실행 중인 이전 OpenSSH 버전 때문에 불가능합니다. 서버 측에서 DSA를 비활성화하는 옵션은 HostKeyAlgorithms이며 Control Station에서 실행되는 OpenSSL 버전에는 없습니다.
이 키는 클라이언트/서버 인증에 사용되지 않으며 트래픽의 암호를 해독하는 데 사용할 수 없습니다. known_hosts 통해 호스트 신뢰성을 확인하고 초기 핸드셰이크를 설정하는 데만 사용됩니다. 이는 취약점으로 간주되지 않으며 현재 OpenSSL을 HostKeyAlgorithms 옵션을 지원하는 버전으로 업그레이드할 계획이 없습니다. 현재로서는 컨트롤 스테이션의 SSH 서버에서 DSA 호스트 키를 비활성화할 수 있는 방법이 없으므로 더 작은 키를 감지하는 스캔의 원인을 완화할 수 있는 방법이 없습니다.
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.