VNX: Qualsys taraması, QID 38738 - SSH Sunucu Genel Anahtarı Çok Küçük algılıyor
Summary: VNX: Qualsys taraması, QID 38738 - SSH Sunucu Genel Anahtarı Çok Küçük (Kullanıcı Tarafından Düzeltilebilir) algıladı
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Qualsys taraması aşağıdaki QID'yi algılar:
QID 38738 - SSH Server Public Key Too Small:
"THREAT: SSH protokolü (Secure Shell), bir bilgisayardan diğerine güvenli uzaktan oturum açma yöntemidir. SSH Sunucusu küçük bir Genel Anahtar kullanıyor. En iyi uygulamalar, yeterli güvenlik sağlamak için RSA dijital imzalarının 2048 bit veya daha uzun olmasını gerektirir. 1024 olan anahtar uzunlukları 2013'e kadar kabul edilebilir, ancak 2011'den beri kullanım dışı olarak kabul edilir. Daha fazla bilgi için lütfen NIST Özel Yayını 800-131A'ya (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf) bakın.
Bu QID'de yalnızca bir sertifikanın parçası olmayan sunucu anahtarları bildirilir. Kısa anahtarlar kullanan OpenSSH sertifikaları QID 38733'te bildirilmiştir. Kısa anahtarlar kullanan X.509 sertifikaları QID 38171'de bildirilir.
ÇÖZÜM: DSA anahtarları ve 2048 bit'ten kısa RSA anahtarları güvenlik açığı olarak kabul edilir. En az 2048 bit veya daha büyük bir RSA ortak anahtar uzunluğu kurmanız veya ECDSA veya EdDSA'ya geçmeniz önerilir."
Cause
VNX kontrol istasyonu 2048 bit RSA anahtarı kullanır ancak DSA anahtarı 1024 bittir.
Resolution
/etc/ssh/sshd_config altındaki kontrol istasyonu anahtarlarına baktığımızda, RSA genel anahtarının ve özel anahtarının 2048 bit imzaya sahip olduğunu görebiliriz:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
Ancak DSA anahtarı yalnızca 1024 bit uzunluğundadır:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
1024 bit üzeri DSA anahtarları desteklenmez, çözüm normalde sunucudaki DSA tabanlı anahtarları devre dışı bırakmaktır. Ancak bizim durumumuzda, kontrol istasyonunda çalışan eski OpenSSH sürümü nedeniyle bu mümkün değildir. Sunucu tarafında DSA'yı devre dışı bırakma seçeneği HostKeyAlgorithms'tir ve kontrol istasyonunda çalışan OpenSSL sürümünde mevcut değildir.
Bu anahtar, istemci/sunucu kimlik doğrulaması için kullanılmaz ve trafiğin şifresini çözmek için kullanılamaz. Yalnızca known_hosts aracılığıyla ana bilgisayar orijinalliğini doğrulamak ve ilk tokalaşmanın oluşturulmasına yardımcı olmak için kullanılır. Bu bir güvenlik açığı olarak kabul edilmez ve openSSL'yi HostKeyAlgorithms seçeneğini destekleyecek bir sürüme yükseltmek için mevcut bir plan yoktur. Şu anda kontrol istasyonunun SSH sunucusunda DSA ana bilgisayar anahtarını devre dışı bırakmanın bir yolu yoktur, bu nedenle taramanın daha küçük anahtarı algılamasının nedenini azaltmanın bir yolu yoktur.
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
Ancak DSA anahtarı yalnızca 1024 bit uzunluğundadır:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
1024 bit üzeri DSA anahtarları desteklenmez, çözüm normalde sunucudaki DSA tabanlı anahtarları devre dışı bırakmaktır. Ancak bizim durumumuzda, kontrol istasyonunda çalışan eski OpenSSH sürümü nedeniyle bu mümkün değildir. Sunucu tarafında DSA'yı devre dışı bırakma seçeneği HostKeyAlgorithms'tir ve kontrol istasyonunda çalışan OpenSSL sürümünde mevcut değildir.
Bu anahtar, istemci/sunucu kimlik doğrulaması için kullanılmaz ve trafiğin şifresini çözmek için kullanılamaz. Yalnızca known_hosts aracılığıyla ana bilgisayar orijinalliğini doğrulamak ve ilk tokalaşmanın oluşturulmasına yardımcı olmak için kullanılır. Bu bir güvenlik açığı olarak kabul edilmez ve openSSL'yi HostKeyAlgorithms seçeneğini destekleyecek bir sürüme yükseltmek için mevcut bir plan yoktur. Şu anda kontrol istasyonunun SSH sunucusunda DSA ana bilgisayar anahtarını devre dışı bırakmanın bir yolu yoktur, bu nedenle taramanın daha küçük anahtarı algılamasının nedenini azaltmanın bir yolu yoktur.
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.