Dell Unity: Kuinka poistaa MAC-algoritmit ja salaukset käytöstä SFTP-yhteensopivissa NAS-palvelimissa
Summary: Vähemmän turvallisten MAC-algoritmien ja -salausten poistaminen käytöstä SFTP-yhteensopivissa NAS-palvelimissa. (käyttäjän korjattavissa)
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Unity tarjoaa parametreja, joiden avulla voidaan mukauttaa SFTP-yhteensopivissa NAS-palvelimissa toimivan SSHD-instanssin tarjoamia MAC-algoritmeja ja salauksia. Voi olla parempi poistaa käytöstä tietoturvatarkistusohjelmiston tunnistamat vähemmän turvalliset salaukset.
Koska ei ole sshd_config tiedosto, jota voidaan muokata SFTP-yhteensopivassa NAS-palvelimessa, Unity tarjoaa kaksi parametria vakiotoimintojen korvaamiseksi. Saat lisätietoja näistä parametreista ja niiden nykyisistä asetuksista suorittamalla seuraavat komennot:
svc_nas ALL -param -f sshd -i cipher svc_nas ALL -param -f sshd -i mac
Nämä parametrit tarjoavat samat toiminnot kuin cipher ja macs Arvot sshd_config tavallisessa Linux- tai UNIX-isännässä, jossa on OpenSSH-vakiopalvelintoteutus. Kyseisissä arvoissa kyseisessä määritystiedostossa käytettyä pilkuilla eroteltua muotoilua voidaan käyttää myös näiden parametrien määrittämiseen käytettyjen komentojen arvoissa.
Jos haluat nähdä luettelon parametrin kanssa käytettävistä MAC-algoritmeista, suorita seuraava komento isännästä:
HUOMAUTUS:
- "Ivan2" on oletuskäyttäjä, mutta mitä tahansa ensisijaista käyttäjää voidaan käyttää.
- 5.6.7.14 on esimerkki SFTP-yhteensopivan NAS-palvelimen IP-osoitteesta.
- Tämä komento käynnistää SSH-yhteyden. Katkaise yhteys näppäinyhdistelmällä Ctrl+C, kun käyttäjältä pyydetään salasanaa, tai vastaa "ei", jos näyttöön tulee kehote "Haluatko varmasti jatkaa yhteyttä?".
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher" debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512 debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512 debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1 debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1 debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: noneMinkä tahansa toisella rivillä luetelluista salauksista tulisi olla kelvollisia syötteitä salausparametrin muutokselle. Kaikkien neljännellä rivillä lueteltujen algoritmien pitäisi olla kelvollisia syötteitä MAC-parametrin muutokselle.
Tässä esimerkissä parametri on määritetty sallimaan vain
hmac-sha2-512-etm@openssh.com MAC-algoritmi:
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com
HUOMAUTUS: Jos haluat sallia useita MAC-algoritmeja, käytä pilkuilla erotettua luetteloa.
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
HUOMIO: Järjestelmä saattaa sallia virheellisten MAC-algoritmien määrittämisen, mikä lukitsee kaikki käyttäjät ulos SFTP-palvelimesta. Varmista, että määrität oikean algoritmin.
Parametrit on määritettävä maailmanlaajuisesti, ja ne saattavat edellyttää SP- tai NAS-palvelimen uudelleenkäynnistystä. Tarkista, että tämä toimii, suorittamalla SFTP-komento, joka määrittää käytöstä poistetun MAC-algoritmin sekä muun kuin AEAD-salauksen, kuten alla:
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14 Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com Connection closed. Connection closedYllä olevassa lähdössä SFTP-palvelin kieltäytyy yhteydestä, koska HMAC-algoritmi
hmac-sha1 on poistettu käytöstä, eikä asiakas käytä AEAD:ia MAC:n sijasta eheyden varmistamiseksi. Ilman muiden kuin AEAD-MAC: n pakottamista tämä voi silti onnistua, vaikka pakotettaisiin käytöstä poistettu MAC, koska asiakas saattaa ohittaa MAC-asetuksen joka tapauksessa, kun AEAD on käytössä.Affected Products
Dell EMC Unity FamilyArticle Properties
Article Number: 000220538
Article Type: How To
Last Modified: 28 May 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.