Dell Unity: Slik deaktiverer du MAC-algoritmer og chiffer for SFTP-aktiverte NAS-servere

Summary: Slik deaktiverer du mindre sikre MAC-algoritmer og chiffer for SFTP-aktiverte NAS-servere. (Kan rettes opp av bruker)

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Unity gir parametere for å tilpasse MAC-algoritmene og chifferne som leveres av SSHD-forekomsten som kjører på SFTP-aktiverte NAS-servere. Det kan være å foretrekke å deaktivere mindre sikre chiffer identifisert av sikkerhetsskanningsprogramvare.

Siden det ikke er noen sshd_config -fil som kan redigeres for den SFTP-aktiverte NAS-serveren, har Unity to parametere som erstatning for standardfunksjonaliteten. Hvis du vil se informasjon om disse parameterne og gjeldende innstillinger, kjører du disse kommandoene:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Disse parameterne gir samme funksjonalitet som redigering av cipher og macs verdier i sshd_config på en standard Linux- eller UNIX-vert som kjører en standard OpenSSH-serverimplementering. Den kommaseparerte formateringen som brukes for disse verdiene i konfigurasjonsfilen, kan også brukes i verdiene som er gitt til kommandoene som brukes til å angi disse parameterne.

Hvis du vil se en liste over MAC-algoritmene som kan brukes med parameteren, kjører du følgende kommando fra en vert:
 

MERK:
  • "ivan2" er en standardbruker, men alle foretrukne brukere kan brukes.
  • "5.6.7.14" er et eksempel på IP-adressen til den SFTP-aktiverte NAS-serveren. 
  • Denne kommandoen starter en SSH-tilkobling. Bruk en ctrl + c tastesekvens for å koble fra når du blir bedt om et passord, eller svar med "nei" hvis en melding som sier "Er du sikker på at du vil fortsette å koble til?" mottas.
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Alle chifferkodene som er oppført på den andre linjen, bør være gyldige innganger for endringen av chifferparameteren. Noen av algoritmene som er oppført på fjerde linje, bør være gyldige innganger for MAC-parameterendringen.

I dette eksemplet er parameteren satt til å bare tillate hmac-sha2-512-etm@openssh.com MAC-algoritme: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

MERK: Hvis du vil tillate flere MAC-algoritmer, bruker du en kommaseparert liste.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
FORSIKTIG: Systemet kan tillate deg å spesifisere ugyldige MAC-algoritmer, og låse alle brukere ute av SFTP-serveren. Pass på å spesifisere en riktig algoritme.

Parametrene må angis globalt og kan kreve omstart av SP- eller NAS-serveren for å tre i kraft. For å bekrefte at dette fungerer, kjør en SFTP-kommando som spesifiserer en MAC-algoritme som ble deaktivert, sammen med en ikke-AEAD-chiffer som vist nedenfor: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
I ovennevnte utgang nekter SFTP-serveren tilkoblingen siden HMAC-algoritmen hmac-sha1 er deaktivert, og klienten ikke bruker AEAD i stedet for en MAC for å gi integritet. Uten å tvinge ikke-AEAD MAC, kan dette fortsatt lykkes selv når du tvinger en deaktivert MAC, siden klienten kan ignorere MAC-innstillingen uansett når AEAD er i bruk.

Affected Products

Dell EMC Unity Family
Article Properties
Article Number: 000220538
Article Type: How To
Last Modified: 28 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.