Dell Unity: Cómo deshabilitar algoritmos y cifrados MAC para servidores NAS habilitados para SFTP

Summary: Cómo deshabilitar algoritmos y cifrados MAC menos seguros para servidores NAS habilitados para SFTP. (Corregible por el usuario)

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Unity proporciona parámetros para personalizar los algoritmos MAC y los cifrados proporcionados por la instancia SSHD que se ejecuta en servidores NAS habilitados para SFTP. Es posible que sea preferible deshabilitar los cifrados menos seguros identificados por el software de escaneo de seguridad.

Dado que no hay sshd_config que se puede editar para el servidor NAS habilitado para SFTP, Unity proporciona dos parámetros como reemplazo de la funcionalidad estándar. Para ver información sobre estos parámetros y su configuración actual, ejecute estos comandos:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Estos parámetros proporcionan la misma funcionalidad que editar el cipher y macs Valores en sshd_config en un host estándar de Linux o UNIX que ejecuta una implementación de servidor OpenSSH estándar. El formato delimitado por comas que se usa para esos valores en ese archivo de configuración también se puede usar en los valores proporcionados a los comandos utilizados para configurar estos parámetros.

Para ver una lista de los algoritmos MAC que se pueden utilizar con el parámetro, ejecute el siguiente comando desde un host:
 

NOTA:
  • "ivan2" es un usuario predeterminado, pero se puede utilizar cualquier usuario preferido.
  • "5.6.7.14" es un ejemplo de dirección IP del servidor NAS habilitado para SFTP. 
  • Este comando inicia una conexión SSH. Utilice una secuencia de teclas ctrl+c para desconectarse cuando se le solicite una contraseña o responda con "no" si se recibe un mensaje que dice "¿Está seguro de que desea continuar conectándose?".
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Cualquiera de los cifrados enumerados en la segunda línea debe ser una entrada válida para el cambio del parámetro de cifrado. Cualquiera de los algoritmos enumerados en la cuarta línea debe ser una entrada válida para el cambio de parámetro MAC.

En este ejemplo, el parámetro está configurado para permitir solo la hmac-sha2-512-etm@openssh.com Algoritmo MAC: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

NOTA: Para permitir varios algoritmos MAC, utilice una lista separada por comas.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
ADVERTENCIA: El sistema puede permitirle especificar algoritmos MAC no válidos, lo que bloquea a todos los usuarios del servidor SFTP. Asegúrese de especificar un algoritmo correcto.

Los parámetros se deben configurar globalmente y pueden requerir un reinicio del servidor NAS o del SP para que surta efecto por completo. Para validar que esto funcione, ejecute un comando SFTP que especifique un algoritmo MAC que se deshabilitó, junto con un cifrado que no sea AEAD, como se muestra a continuación: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
En la salida anterior, el servidor SFTP rechaza la conexión, ya que el algoritmo HMAC hmac-sha1 está deshabilitado y el cliente no utiliza AEAD en lugar de una MAC para proporcionar integridad. Si no se fuerza la MAC que no es AEAD, esto puede tener éxito incluso cuando se fuerza una MAC deshabilitada, ya que el cliente puede ignorar la configuración MAC de todos modos cuando AEAD está en uso.

Affected Products

Dell EMC Unity Family
Article Properties
Article Number: 000220538
Article Type: How To
Last Modified: 28 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.