Dell Unity : Désactivation des algorithmes et chiffrements MAC pour les serveurs NAS compatibles SFTP

Summary: Désactivation des algorithmes et chiffrements MAC moins sécurisés pour les serveurs NAS compatibles SFTP. (Corrigible par l’utilisateur)

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Unity fournit des paramètres permettant de personnaliser les algorithmes MAC et les chiffrements fournis par l’instance SSHD s’exécutant sur des serveurs NAS compatibles SFTP. Il peut être préférable de désactiver les chiffrements moins sécurisés identifiés par le logiciel d’analyse de sécurité.

Puisqu’il n’y a pas de sshd_config fichier qui peut être modifié pour le serveur NAS compatible SFTP, Unity fournit deux paramètres en remplacement de la fonctionnalité standard. Pour afficher des informations sur ces paramètres et leurs paramètres actuels, exécutez les commandes suivantes :

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Ces paramètres offrent les mêmes fonctionnalités que la modification de l’attribut cipher et macs valeurs dans sshd_config sur un hôte Linux ou UNIX standard exécutant une implémentation de serveur OpenSSH standard. La mise en forme délimitée par des virgules utilisée pour les valeurs de ce fichier de configuration peut également être utilisée dans les valeurs fournies aux commandes utilisées pour définir ces paramètres.

Pour afficher la liste des algorithmes MAC qui peuvent être utilisés avec le paramètre, exécutez la commande suivante à partir d’un hôte :
 

Remarque :
  • « Ivan2 » est un utilisateur par défaut, mais n’importe quel utilisateur préféré peut être utilisé.
  • « 5.6.7.14 » est un exemple d’adresse IP du serveur NAS compatible SFTP. 
  • Cette commande lance une connexion SSH. Utilisez une séquence de touches Ctrl+C pour vous déconnecter lorsque vous êtes invité à saisir un mot de passe, ou répondez « non » si vous recevez une invite « Êtes-vous sûr de vouloir continuer la connexion ? ».
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Tous les chiffrements répertoriés sur la deuxième ligne doivent être des entrées valides pour la modification du paramètre de chiffrement. Tous les algorithmes répertoriés sur la quatrième ligne doivent être des entrées valides pour la modification du paramètre MAC.

Dans cet exemple, le paramètre est défini pour autoriser uniquement l’option hmac-sha2-512-etm@openssh.com Algorithme MAC : 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

Remarque : Pour autoriser plusieurs algorithmes MAC, utilisez une liste séparée par des virgules.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
ATTENTION : Le système peut vous autoriser à spécifier des algorithmes MAC non valides, bloquant ainsi tous les utilisateurs du serveur SFTP. Veillez à spécifier un algorithme correct.

Les paramètres doivent être définis globalement et peuvent nécessiter un redémarrage du serveur SP ou NAS pour prendre pleinement effet. Afin de vérifier que cela fonctionne, exécutez une commande SFTP spécifiant un algorithme MAC qui a été désactivé, ainsi qu’un chiffrement non AEAD, comme illustré ci-dessous : 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
Dans la sortie ci-dessus, le serveur SFTP refuse la connexion car l’algorithme HMAC hmac-sha1 est désactivé et le client n’utilise pas AEAD à la place d’un MAC pour assurer l’intégrité. Sans forcer l’adresse MAC non AEAD, cela peut toujours réussir même en forçant un MAC désactivé, car le client peut ignorer le paramètre MAC de toute façon lorsque AEAD est en cours d’utilisation.

Affected Products

Dell EMC Unity Family
Article Properties
Article Number: 000220538
Article Type: How To
Last Modified: 28 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.