Dell Unity: Sådan deaktiveres MAC-algoritmer og cifre for SFTP-aktiverede NAS-servere

Summary: Sådan deaktiveres mindre sikre MAC-algoritmer og cifre for SFTP-aktiverede NAS-servere. (Kan rettes af brugeren)

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Unity leverer parametre til tilpasning af MAC-algoritmer og cifre, der leveres af SSHD-forekomsten, der kører på SFTP-aktiverede NAS-servere. Det kan være at foretrække at deaktivere mindre sikre cifre, der identificeres af sikkerhedsscanningssoftware.

Da der ikke er nogen sshd_config fil, der kan redigeres for den SFTP-aktiverede NAS-server, indeholder Unity to parametre som erstatning for standardfunktionaliteten. Hvis du vil se oplysninger om disse parametre og deres aktuelle indstillinger, skal du køre disse kommandoer:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Disse parametre giver samme funktionalitet som redigering af cipher og macs værdier i sshd_config på en standard Linux- eller UNIX-vært, der kører en standard OpenSSH-serverimplementering. Den kommaseparerede formatering, der bruges til disse værdier i konfigurationsfilen, kan også bruges i de værdier, der leveres til kommandoerne, der bruges til at angive disse parametre.

Hvis du vil se en liste over de MAC-algoritmer, der kan bruges sammen med parameteren, skal du køre følgende kommando fra en vært:
 

BEMÆRK:
  • "Ivan2" er standardbruger, men enhver foretrukken bruger kan bruges.
  • "5.6.7.14" er et eksempel på IP-adressen på den SFTP-aktiverede NAS-server. 
  • Denne kommando starter en SSH-forbindelse. Brug en ctrl+c-tastesekvens til at afbryde forbindelsen, når du bliver bedt om en adgangskode, eller svar med "nej", hvis du bliver bedt om at sige "Er du sikker på, at du vil fortsætte forbindelsen?".
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Enhver af de cifre, der er anført på den anden linje, skal være gyldige input til chifferparameterændringen. Enhver af algoritmerne, der er anført på fjerde linje, skal være gyldige input til MAC-parameterændringen.

I dette eksempel er parameteren indstillet til kun at tillade hmac-sha2-512-etm@openssh.com MAC-algoritme: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

BEMÆRK: Hvis du vil tillade flere MAC-algoritmer, skal du bruge en kommasepareret liste.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
FORSIGTIG: Systemet kan give dig mulighed for at angive ugyldige MAC-algoritmer, der låser alle brugere ude af SFTP-serveren. Sørg for at angive en korrekt algoritme.

Parametrene skal indstilles globalt og kan kræve en genstart af SP- eller NAS-serveren for at træde helt i kraft. For at validere, at dette fungerer, skal du køre en SFTP-kommando, der angiver en MAC-algoritme, som blev deaktiveret, sammen med en ikke-AEAD-chiffer som vist nedenfor: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
I ovenstående output nægter SFTP-serveren forbindelsen, da HMAC-algoritmen hmac-sha1 er deaktiveret, og klienten bruger ikke AEAD i stedet for en MAC for at give integritet. Uden at tvinge ikke-AEAD MAC kan dette stadig lykkes, selv når du tvinger en deaktiveret MAC, da klienten muligvis ignorerer MAC-indstillingen alligevel, når AEAD er i brug.

Affected Products

Dell EMC Unity Family
Article Properties
Article Number: 000220538
Article Type: How To
Last Modified: 28 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.