Dell Unity: Deaktivieren von MAC-Algorithmen und Chiffren für SFTP-fähige NAS-Server

Summary: So deaktivieren Sie weniger sichere MAC-Algorithmen und Chiffren für SFTP-fähige NAS-Server. (Vom Nutzer korrigierbar)

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Unity bietet Parameter zum Anpassen der MAC-Algorithmen und Chiffren, die von der SSHD-Instanz bereitgestellt werden, die auf SFTP-fähigen NAS-Servern ausgeführt wird. Es kann besser sein, weniger sichere Chiffren zu deaktivieren, die von der Sicherheitsscansoftware identifiziert wurden.

Da es keine sshd_config -Datei, die für den SFTP-fähigen NAS-Server bearbeitet werden kann, bietet Unity zwei Parameter als Ersatz für die Standardfunktionen. Um Informationen zu diesen Parametern und ihren aktuellen Einstellungen anzuzeigen, führen Sie die folgenden Befehle aus:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Diese Parameter bieten die gleiche Funktionalität wie das Bearbeiten der cipher und macs Werte in sshd_config auf einem Standard-Linux- oder UNIX-Host, auf dem eine Standard-OpenSSH-Serverimplementierung ausgeführt wird. Die durch Kommas getrennte Formatierung, die für diese Werte in dieser Konfigurationsdatei verwendet wird, kann auch in den Werten verwendet werden, die für die Befehle bereitgestellt werden, die zum Festlegen dieser Parameter verwendet werden.

Um eine Liste der MAC-Algorithmen anzuzeigen, die mit dem Parameter verwendet werden können, führen Sie den folgenden Befehl von einem Host aus:
 

HINWEIS:
  • "ivan2" ist ein Standardnutzer, aber jeder bevorzugte Nutzer kann verwendet werden.
  • "5.6.7.14" ist eine Beispiel-IP-Adresse des SFTP-fähigen NAS-Servers. 
  • Mit diesem Befehl wird eine SSH-Verbindung initiiert. Verwenden Sie eine Tastenkombination von Strg + C, um die Verbindung zu trennen, wenn Sie zur Eingabe eines Kennworts aufgefordert werden, oder antworten Sie mit "Nein", wenn Sie aufgefordert werden, die Verbindung fortzusetzen.
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Alle in der zweiten Zeile aufgeführten Chiffren sollten gültige Eingaben für die Änderung des Verschlüsselungsparameters sein. Jeder der in der vierten Zeile aufgeführten Algorithmen sollte eine gültige Eingabe für die MAC-Parameteränderung sein.

In diesem Beispiel ist der Parameter so festgelegt, dass nur die hmac-sha2-512-etm@openssh.com MAC-Algorithmus: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

HINWEIS: Um mehrere MAC-Algorithmen zuzulassen, verwenden Sie eine durch Kommas getrennte Liste.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
VORSICHT: Das System ermöglicht Ihnen möglicherweise, ungültige MAC-Algorithmen anzugeben, wodurch alle Nutzer vom SFTP-Server ausgeschlossen werden. Achten Sie darauf, einen korrekten Algorithmus anzugeben.

Die Parameter müssen global festgelegt werden und erfordern möglicherweise einen SP- oder NAS-Serverneustart, um vollständig wirksam zu werden. Um zu überprüfen, ob dies funktioniert, führen Sie einen SFTP-Befehl aus, der einen deaktivierten MAC-Algorithmus zusammen mit einer Nicht-AEAD-Verschlüsselung angibt, wie unten dargestellt: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
In der obigen Ausgabe lehnt der SFTP-Server die Verbindung ab, da der HMAC-Algorithmus hmac-sha1 deaktiviert ist und der Client AEAD nicht anstelle eines MAC verwendet, um die Integrität zu gewährleisten. Ohne das Erzwingen der Nicht-AEAD-MAC kann dies auch dann erfolgreich sein, wenn eine deaktivierte MAC erzwungen wird, da der Client die MAC-Einstellung möglicherweise trotzdem ignoriert, wenn AEAD verwendet wird.

Affected Products

Dell EMC Unity Family
Article Properties
Article Number: 000220538
Article Type: How To
Last Modified: 28 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.