Dell Unity: SFTP 지원 NAS 서버의 MAC 알고리듬 및 암호를 비활성화하는 방법

Summary: SFTP 지원 NAS 서버에 대해 보안 수준이 낮은 MAC 알고리듬 및 암호를 비활성화하는 방법 (사용자 수정 가능)

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Unity는 SFTP 지원 NAS 서버에서 실행되는 SSHD 인스턴스에서 제공하는 MAC 알고리듬 및 암호를 커스터마이즈하는 매개변수를 제공합니다. 보안 검사 소프트웨어로 식별되는 덜 안전한 암호를 비활성화하는 것이 좋습니다.

없기 때문에 sshd_config 편집할 수 있는 SFTP 지원 NAS 서버의 경우 Unity는 표준 기능을 대체하는 두 개의 매개변수를 제공합니다. 이러한 매개변수와 해당 현재 설정에 대한 정보를 보려면 다음 명령을 실행합니다.

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

이러한 매개변수는 편집과 동일한 기능을 제공합니다. ciphermacs 의 값 sshd_config 표준 OpenSSH 서버 구현을 실행하는 표준 Linux 또는 UNIX 호스트에서. 해당 구성 파일의 해당 값에 사용되는 쉼표로 구분된 형식은 이러한 매개변수를 설정하는 데 사용되는 명령에 제공되는 값에도 사용할 수 있습니다.

매개변수와 함께 사용할 수 있는 MAC 알고리즘 목록을 보려면 호스트에서 다음 명령을 실행합니다.
 

참고:
  • "ivan2"가 기본 사용자이지만 원하는 사용자가 사용할 수 있습니다.
  • "5.6.7.14"는 SFTP 지원 NAS 서버의 IP 주소 예입니다. 
  • 이 명령은 SSH 연결을 시작합니다. ctrl+c 키 시퀀스를 사용하여 암호를 묻는 메시지가 표시되면 연결을 끊거나 "연결을 계속하시겠습니까?"라는 메시지가 표시되면 "no"로 응답합니다.
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
두 번째 줄에 나열된 암호는 암호 매개변수 변경에 유효한 입력이어야 합니다. 네 번째 줄에 나열된 알고리즘은 MAC 매개 변수 변경에 유효한 입력이어야 합니다.

이 예제에서 매개변수는 hmac-sha2-512-etm@openssh.com MAC 알고리즘: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

참고: 여러 MAC 알고리즘을 허용하려면 쉼표로 구분된 목록을 사용합니다.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
주의: 시스템에서 잘못된 MAC 알고리즘을 지정하여 모든 사용자를 SFTP 서버에서 잠글 수 있습니다. 올바른 알고리즘을 지정하도록 주의하십시오.

매개변수는 전역적으로 설정해야 하며 완전히 적용하려면 SP 또는 NAS 서버를 재부팅해야 할 수 있습니다. 이것이 작동하는지 확인하려면 아래와 같이 비 AEAD 암호와 함께 비활성화된 MAC 알고리즘을 지정하는 SFTP 명령을 실행합니다. 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
위 출력에서 SFTP 서버는 HMAC 알고리즘 이후 연결을 거부합니다. hmac-sha1 가 비활성화되고 클라이언트가 무결성을 제공하기 위해 MAC 대신 AEAD를 사용하지 않습니다. AEAD가 아닌 MAC을 강제하지 않으면 AEAD가 사용 중일 때 클라이언트가 MAC 설정을 무시할 수 있으므로 비활성화된 MAC을 강제하는 경우에도 성공할 수 있습니다.

Affected Products

Dell EMC Unity Family
Article Properties
Article Number: 000220538
Article Type: How To
Last Modified: 28 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.