VNX: Qualsys-skanning oppdager QID 38738 – offentlig SSH-servernøkkel er for liten
Summary: VNX: Qualsys-skanning oppdager QID 38738 – offentlig SSH-servernøkkel for liten (kan korrigeres av brukeren)
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Qualsys-skanning oppdager følgende QID:
QID 38738 – SSH Server Public Key Too Small:
"THREAT: SSH-protokollen (Secure Shell) er en metode for sikker ekstern pålogging fra en datamaskin til en annen. SSH-serveren bruker en liten offentlig nøkkel. Gode fremgangsmåter krever at digitale RSA-signaturer er 2048 eller flere biter lange for å gi tilstrekkelig sikkerhet. Nøkkellengder på 1024 er akseptable til og med 2013, men siden 2011 anses de som avskrevet. Hvis du vil ha mer informasjon, kan du se NIST Special Publication 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
Bare servernøkler som ikke er en del av et sertifikat, rapporteres i denne QIDen. OpenSSH-sertifikater som bruker korte nøkler, rapporteres i QID 38733. X.509-sertifikater med korte nøkler er rapportert i QID 38171.
LØSNING: DSA-nøkler og RSA-nøkler som er kortere enn 2048 biter, anses som sårbare. Det anbefales å installere en RSA-nøkkellengde på minst 2048 bits eller mer, eller å bytte til ECDSA eller EdDSA.
Cause
VNX-kontrollstasjonen bruker en 2048 bit RSA-nøkkel, men DSA-nøkkelen er 1024 bits.
Resolution
Ser vi på kontrollstasjonsnøklene under /etc/ssh/sshd_config kan vi se at RSA offentlig nøkkel og privat nøkkel har en 2048 bit signatur:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
Men DSA-nøkkelen er bare 1024 bits lang:
ssh-keygen-lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
DSA-nøkler over 1024 bits støttes ikke, løsningen vil normalt være å deaktivere DSA-baserte nøkler på tjeneren. I vårt tilfelle er dette imidlertid ikke mulig på grunn av den eldre OpenSSH-versjonen som kjører på kontrollstasjonen. Alternativet for å deaktivere DSA på serversiden er HostKeyAlgorithms, og det er ikke til stede i versjonen av OpenSSL som kjører på kontrollstasjonen.
Denne nøkkelen brukes ikke til klient/server-godkjenning og kan ikke brukes til å dekryptere trafikk. Den brukes bare til å verifisere vertsautentisitet gjennom known_hosts og hjelpe til med å etablere det første håndtrykket. Dette regnes ikke som et sikkerhetsproblem, og det er for øyeblikket ingen planer om å oppgradere openSSL til en versjon som støtter alternativet HostKeyAlgorithms. For øyeblikket er det ingen måte å deaktivere DSA-vertsnøkkelen på kontrollstasjonens SSH-server, så det er ingen måte å redusere årsaken til skanningen som oppdager den mindre nøkkelen.
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
Men DSA-nøkkelen er bare 1024 bits lang:
ssh-keygen-lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
DSA-nøkler over 1024 bits støttes ikke, løsningen vil normalt være å deaktivere DSA-baserte nøkler på tjeneren. I vårt tilfelle er dette imidlertid ikke mulig på grunn av den eldre OpenSSH-versjonen som kjører på kontrollstasjonen. Alternativet for å deaktivere DSA på serversiden er HostKeyAlgorithms, og det er ikke til stede i versjonen av OpenSSL som kjører på kontrollstasjonen.
Denne nøkkelen brukes ikke til klient/server-godkjenning og kan ikke brukes til å dekryptere trafikk. Den brukes bare til å verifisere vertsautentisitet gjennom known_hosts og hjelpe til med å etablere det første håndtrykket. Dette regnes ikke som et sikkerhetsproblem, og det er for øyeblikket ingen planer om å oppgradere openSSL til en versjon som støtter alternativet HostKeyAlgorithms. For øyeblikket er det ingen måte å deaktivere DSA-vertsnøkkelen på kontrollstasjonens SSH-server, så det er ingen måte å redusere årsaken til skanningen som oppdager den mindre nøkkelen.
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.