2 votes

tonygts avatar

La clé publique du serveur SSH est trop petite

Demandé el 4 de Mars, 2019
Quand la question a-t-elle été
5805 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Le client a un fournisseur qui génère un scan pour la conformité PCI sur son serveur Debian 8.

Tiré de leur rapport :

Les clés DSA et RSA de moins de 2048 bits sont considérées comme vulnérables. vulnérables. Il est recommandé d'installer une clé publique RSA d'une longueur d'au moins 2048 bits ou plus, ou de passer à ECDSA ou EdDSA.

La plupart de mes recherches me permettent de savoir comment utiliser ssh en tant que client. Parmi les rares qui abordent indirectement le renforcement de ce serveur, il est suggéré de modifier le fichier /etc/ssh/ssh_config.

Même s'il est dit qu'il n'est pas à jour, j'ai lancé ssh-audit depuis mon local et il a fourni quelques suggestions pour supprimer certaines des clés, mac et hex. En voyant le rapport du vendeur, j'ai commenté les éléments suivants

#HostKey /etc/ssh/ssh_host_ecdsa_key

J'ai redémarré ssh.service et relancé ssh-audit à partir de local, qui n'a pas semblé changer sa liste de recommandations, ce qui suggère que je n'ai pas fait quelque chose de correct.

Je pense que je ne fais pas ce qu'il faut pour résoudre ce problème pour mon client. Que devrais-je faire à la place ?

Il s'agit d'un suivi pour montrer au vendeur de PCI que Debian 8 a été corrigée avec succès .

Demandé el 4 de Mars, 2019 par tonygts

Réponse

Trop de publicités?

2voto

Michael Hampton avatar
Michael Hampton Points 232226

Sur Debian jessie (actuellement oldstable et en LTS ; vous devriez avoir activé LTS et effectuer la mise à niveau dans les prochains mois), les clés RSA de ssh sont actuellement générées avec 2048 bits. Mais si le système a été mis à jour vers jessie, il est possible que d'anciennes clés aient été générées avec 1024 bits.

Vous pouvez utiliser une commande comme la suivante pour vérifier l'état de la clé RSA de l'hôte :

error@vmtest-debian8:~$ ssh-keygen -lf /etc/ssh/ssh_host_rsa_key.pub
2048 1a:bc:78:5e:2f:37:dd:75:c2:70:e8:18:41:35:b9:2e /etc/ssh/ssh_host_rsa_key.pub (RSA)

Si la clé est inférieure à 2048 bits, vous devez générer une nouvelle clé d'hôte ssh.

error@vmtest-debian8:~$ sudo ssh-keygen -N '' -b 2048 -t rsa -f /etc/ssh/ssh_host_rsa_key
Generating public/private rsa key pair.
/etc/ssh/ssh_host_rsa_key already exists.
Overwrite (y/n)? y
Your identification has been saved in /etc/ssh/ssh_host_rsa_key.
Your public key has been saved in /etc/ssh/ssh_host_rsa_key.pub.
The key fingerprint is:
47:60:91:14:b1:15:6e:6d:ea:e9:36:37:31:08:d3:69 root@vmtest-debian8
The key's randomart image is:
+---[RSA 2048]----+
|       .B=o.     |
|       ..= .     |
|        ..+.o    |
|        ooEo     |
|        S+o.     |
|         o..o    |
|          o  o   |
|         .o o    |
|         ..o .   |
+-----------------+

Et bien sûr redémarrer OpenSSH.

error@vmtest-debian8:~$ sudo systemctl restart sshd

Notez que la prochaine fois que quelqu'un se connectera au serveur, il pourrait recevoir un message méchant comme celui-ci et ne pas pouvoir se connecter :

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.

Les utilisateurs concernés devront modifier leurs hôtes connus en conséquence.

Répondu el 4 de Mars, 2019 par Michael Hampton (232226 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X