VNX: Qualsys-scan detecteert QID 38738 - Openbare sleutel SSH-server te klein
Summary: VNX: Qualsys-scan detecteert QID 38738 - Openbare sleutel SSH-server te klein (op te lossen door gebruiker)
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Qualsys-scan detecteert de volgende QID:
QID 38738 - SSH Server Public Key Too Small:
"THREAT: Het SSH-protocol (Secure Shell) is een methode om veilig op afstand in te loggen van de ene computer naar de andere. De SSH-server gebruikt een kleine openbare sleutel. Best practices vereisen dat digitale RSA-handtekeningen 2048 of meer bits lang zijn om voldoende beveiliging te bieden. Belangrijke lengtes van 1024 zijn acceptabel tot en met 2013, maar sinds 2011 worden ze als verouderd beschouwd. Voor meer informatie verwijzen wij u naar NIST Special Publication 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
Alleen serversleutels die geen deel uitmaken van een certificaat worden gerapporteerd in deze QID. OpenSSH-certificaten met korte sleutels worden gerapporteerd in QID 38733. X.509-certificaten met korte sleutels worden gerapporteerd in QID 38171.
OPLOSSING: DSA-sleutels en RSA-sleutels korter dan 2048 bits worden als kwetsbaar beschouwd. Het wordt aanbevolen om een RSA openbare sleutel met een lengte van ten minste 2048 bits of meer te installeren, of om over te schakelen naar ECDSA of EdDSA."
Cause
Het VNX-controlestation gebruikt een 2048-bits RSA-sleutel, maar de DSA-sleutel is 1024-bits.
Resolution
Als we kijken naar de controlestationsleutels onder /etc/ssh/sshd_config zien we dat de RSA publieke sleutel en private sleutel een 2048 bit handtekening hebben:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
De DSA-sleutel is echter slechts 1024 bits lang:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
DSA-sleutels boven 1024 bits worden niet ondersteund, de oplossing zou normaal gesproken zijn om DSA-gebaseerde sleutels op de server uit te schakelen. In ons geval is dit echter niet mogelijk vanwege de oudere OpenSSH-versie die op het controlestation draait. De optie om DSA aan de serverzijde uit te schakelen is HostKeyAlgorithms, en is niet aanwezig in de versie van OpenSSL die op het controlestation wordt uitgevoerd.
Deze sleutel wordt niet gebruikt voor client-/serververificatie en kan niet worden gebruikt om verkeer te ontsleutelen. Het wordt alleen gebruikt om de authenticiteit van de host te verifiëren door middel van known_hosts en om te helpen bij het tot stand brengen van de eerste handdruk. Dit wordt niet beschouwd als een kwetsbaarheid en er zijn momenteel geen plannen om openSSL te upgraden naar een versie die de optie HostKeyAlgorithms ondersteunt. Op dit moment is er geen manier om de DSA-hostsleutel uit te schakelen op de SSH-server van het controlestation, dus er is geen manier om de oorzaak van de scan die de kleinere sleutel detecteert, te verminderen.
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
De DSA-sleutel is echter slechts 1024 bits lang:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
DSA-sleutels boven 1024 bits worden niet ondersteund, de oplossing zou normaal gesproken zijn om DSA-gebaseerde sleutels op de server uit te schakelen. In ons geval is dit echter niet mogelijk vanwege de oudere OpenSSH-versie die op het controlestation draait. De optie om DSA aan de serverzijde uit te schakelen is HostKeyAlgorithms, en is niet aanwezig in de versie van OpenSSL die op het controlestation wordt uitgevoerd.
Deze sleutel wordt niet gebruikt voor client-/serververificatie en kan niet worden gebruikt om verkeer te ontsleutelen. Het wordt alleen gebruikt om de authenticiteit van de host te verifiëren door middel van known_hosts en om te helpen bij het tot stand brengen van de eerste handdruk. Dit wordt niet beschouwd als een kwetsbaarheid en er zijn momenteel geen plannen om openSSL te upgraden naar een versie die de optie HostKeyAlgorithms ondersteunt. Op dit moment is er geen manier om de DSA-hostsleutel uit te schakelen op de SSH-server van het controlestation, dus er is geen manier om de oorzaak van de scan die de kleinere sleutel detecteert, te verminderen.
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.