web-dev-qa-db-ja.com

SSHサーバー公開鍵が小さすぎます

お客様には、Debian 8サーバー上でScan for PCIコンプライアンスを生成するベンダーがいます。

彼らの報告からの引用:

2048ビットより短いDSA鍵およびRSA鍵は脆弱であると見なされます。少なくとも2048ビット以上のRSA公開鍵の長さをインストールするか、ECDSAまたはEdDSAに切り替えることをお勧めします。

私の検索のほとんどは、クライアントとしてのsshの扱い方を返します。このサーバーの強化に斜めに触れている数少ないもののうち、私は/ etc/ssh/ssh_configを変更することを検討することをお勧めします。

古くなっていると言われていますが、私はローカルからssh-auditを実行し、いくつかのキー、macおよびhexを削除するための提案を提供しました。コメントアウトしたベンダーのレポートを見て

#HostKey /etc/ssh/ssh_Host_ecdsa_key

ssh.serviceを再起動し、ローカルからssh-auditを再実行しましたが、これは推奨事項のリストを変更していないようで、私が何か正しくないことを示唆しています。

私はこれを私の顧客のために解決するために正しいことをしていないと思います。代わりに何をすべきですか?

これは、PCIベンダーに Debian 8が正常にパッチされている であることを示すための続きです。

2
sam452

Debian jessie(現在はoldstableおよびLTSです。LTSを有効にして、今後数か月以内にアップグレードする必要があります)では、ssh RSA鍵は現在2048ビットで生成されています。しかし、システムがjessieにアップグレードされた場合、1024ビットで生成された古いキーがあった可能性があります。

次のようなコマンドを使用して、ホストRSAキーのステータスを確認できます。

error@vmtest-debian8:~$ ssh-keygen -lf /etc/ssh/ssh_Host_rsa_key.pub
2048 1a:bc:78:5e:2f:37:dd:75:c2:70:e8:18:41:35:b9:2e /etc/ssh/ssh_Host_rsa_key.pub (RSA)

キーが2048ビット未満の場合は、新しいSSHホストキーを生成する必要があります。

error@vmtest-debian8:~$ Sudo ssh-keygen -N '' -b 2048 -t rsa -f /etc/ssh/ssh_Host_rsa_key
Generating public/private rsa key pair.
/etc/ssh/ssh_Host_rsa_key already exists.
Overwrite (y/n)? y
Your identification has been saved in /etc/ssh/ssh_Host_rsa_key.
Your public key has been saved in /etc/ssh/ssh_Host_rsa_key.pub.
The key fingerprint is:
47:60:91:14:b1:15:6e:6d:ea:e9:36:37:31:08:d3:69 root@vmtest-debian8
The key's randomart image is:
+---[RSA 2048]----+
|       .B=o.     |
|       ..= .     |
|        ..+.o    |
|        ooEo     |
|        S+o.     |
|         o..o    |
|          o  o   |
|         .o o    |
|         ..o .   |
+-----------------+

そしてもちろんOpenSSHを再起動します。

error@vmtest-debian8:~$ Sudo systemctl restart sshd

次に誰かがサーバーに接続するときに、次のような厄介なメッセージが表示されて接続できなくなる可能性があることに注意してください。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE Host IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a Host key has just been changed.

影響を受けるユーザーは、既知のホストを適切に編集する必要があります。

2
Michael Hampton