VNX:QualsysスキャンでQID 38738 - SSHサーバーの公開キーが小さすぎることを検出

概要: VNX:QualsysスキャンでQID 38738 - SSHサーバーの公開キーが小さすぎる(ユーザー修正可能)が検出される

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。

現象

Qualsysスキャンでは、次のQID:
QID 38738 - SSH Server Public Key Too Small:
"THREATが検出されます。SSHプロトコル(Secure Shell)は、あるコンピューターから別のコンピューターに安全にリモートログインする方法です。SSHサーバーは小さな公開キーを使用しています。ベスト プラクティスでは、適切なセキュリティを提供するために、RSA デジタル署名の長さを 2048 ビット以上にする必要があります。キーの長さ 1024 は 2013 年まで許容されますが、2011 年以降は非推奨と見なされます。詳細については、NIST Special Publication 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf)を参照してください
この QID では、証明書の一部ではないサーバー鍵のみが報告されます。短いキーを使用するOpenSSH証明書は、QID 38733で報告されます。短いキーを使用する X.509 証明書は、QID 38171 で報告されます。
対処法:DSAキーと2048ビットより短いRSAキーは脆弱と見なされます。2048ビット以上のRSA公開キーをインストールするか、ECDSAまたはEdDSAに切り替えることをお勧めします。
 

原因

VNX Control Stationは2048ビットのRSAキーを使用しますが、DSAキーは1024ビットです。

解決方法

/etc/ssh/sshd_configの下のControl Stationキーを見ると、RSA公開キーとプライベート キーに2048ビットの署名があることがわかります:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub(RSA)

ただし、DSAキーは1024ビットのみです:
ssh-keygen-lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen-lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)

1024ビットを超えるDSAキーはサポートされていません。解決策は通常、サーバーでDSAベースのキーを無効にすることです。ただし、このケースでは、Control Stationで古いOpenSSHバージョンが実行されているため、これは不可能です。サーバー側でDSAを無効にするオプションはHostKeyAlgorithmsであり、Control Stationで実行されているOpenSSLのバージョンには存在しません

このキーはクライアント/サーバー認証には使用されず、トラフィックの復号化には使用できません。known_hostsを通じてホストの信頼性を検証し、初期ハンドシェイクの確立を支援する場合にのみ使用されます。これは脆弱性とは見なされず、OpenSSLをHostKeyAlgorithmsオプションをサポートするバージョンにアップグレードする現在の計画はありません。現時点では、Control StationのSSHサーバでDSAホスト キーを無効にする方法がないため、スキャンで小さい方のキーが検出される原因を軽減する方法はありません。

対象製品

VNX2 Series

製品

VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600
文書のプロパティ
文書番号: 000056369
文書の種類: Solution
最終更新: 03 3月 2025
バージョン:  4
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。