Dell Unity: Jak zakázat algoritmy a šifry MAC pro servery NAS s povoleným SFTP

Summary: Jak zakázat méně bezpečné algoritmy a šifry MAC pro servery NAS s podporou SFTP. (oprava uživatelem)

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Unity poskytuje parametry pro přizpůsobení algoritmů a šifer MAC poskytovaných instancí SSHD spuštěnou na serverech NAS s podporou SFTP. Může být vhodnější zakázat méně bezpečné šifry identifikované bezpečnostním skenovacím softwarem.

Vzhledem k tomu, že neexistuje žádný sshd_config , který lze upravovat pro server NAS s podporou SFTP, Unity poskytuje dva parametry jako náhradu za standardní funkce. Chcete-li zobrazit informace o těchto parametrech a jejich aktuálním nastavení, spusťte tyto příkazy:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Tyto parametry poskytují stejné funkce jako úprava cipher a macs Hodnoty v sshd_config na standardním linuxovém nebo unixovém hostiteli se standardní implementací serveru OpenSSH. Formátování oddělené čárkami, které se používá pro tyto hodnoty v tomto konfiguračním souboru, lze také použít v hodnotách poskytovaných příkazům použitým k nastavení těchto parametrů.

Chcete-li zobrazit seznam algoritmů MAC, které lze použít s parametrem, spusťte z hostitele následující příkaz:
 

POZNÁMKA:
  • "ivan2" je výchozí uživatel, ale lze použít libovolného preferovaného uživatele.
  • "5.6.7.14" je příklad IP adresy serveru NAS s povoleným SFTP. 
  • Tento příkaz inicializuje připojení SSH. Pomocí kombinace kláves Ctrl+C se odpojte, když budete vyzváni k zadání hesla, nebo odpovězte "ne", pokud se zobrazí výzva "Are you sure you want to continue connecting?"
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Kterákoli ze šifer uvedených na druhém řádku by měla být platnými vstupy pro změnu parametru šifry. Kterýkoli z algoritmů uvedených na čtvrtém řádku by měl být platným vstupem pro změnu parametru MAC.

V tomto příkladu je parametr nastaven tak, aby umožňoval pouze hmac-sha2-512-etm@openssh.com Algoritmus MAC: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

POZNÁMKA: Chcete-li povolit více algoritmů MAC, použijte seznam oddělený čárkami.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
VAROVÁNÍ: Systém vám může umožnit zadat neplatné algoritmy MAC, které zablokují přístup všech uživatelů k serveru SFTP. Dbejte na to, abyste zadali správný algoritmus.

Parametry je nutné nastavit globálně a mohou vyžadovat restart SP nebo serveru NAS, aby se plně projevily. Chcete-li ověřit, že to funguje, spusťte příkaz SFTP specifikující algoritmus MAC, který byl zakázán, spolu se šifrou bez AEAD, jak je vidět níže: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
Ve výše uvedeném výstupu server SFTP odmítá připojení, protože algoritmus HMAC hmac-sha1 je zakázána a klient nepoužívá AEAD místo MAC k zajištění integrity. Bez vynucení MAC bez AEAD to může být stále úspěšné i při vynucení zakázané MAC, protože klient může ignorovat nastavení MAC tak jako tak, když se AEAD používá.

Affected Products

Dell EMC Unity Family
Article Properties
Article Number: 000220538
Article Type: How To
Last Modified: 28 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.