Dell Unity: Come disabilitare gli algoritmi e le crittografie MAC per i server NAS abilitati per SFTP

Summary: Come disabilitare gli algoritmi e le crittografie MAC meno sicuri per i server NAS abilitati per SFTP. (correggibile dall'utente) (in inglese)

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Unity fornisce parametri per personalizzare gli algoritmi MAC e le crittografie fornite dall'istanza SSHD in esecuzione su server NAS abilitati per SFTP. Potrebbe essere preferibile disabilitare le crittografie meno sicure identificate dal software di scansione per sicurezza.

Dal momento che non c'è sshd_config che è possibile modificare per il server NAS abilitato per SFTP, Unity fornisce due parametri in sostituzione della funzionalità standard. Per visualizzare informazioni su questi parametri e sulle relative impostazioni correnti, eseguire questi comandi:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Questi parametri forniscono le stesse funzionalità della modifica del cipher e macs valori in sshd_config su un host Linux o UNIX standard che esegue un'implementazione server OpenSSH standard. La formattazione delimitata da virgole utilizzata per tali valori nel file di configurazione può essere utilizzata anche nei valori forniti ai comandi utilizzati per impostare questi parametri.

Per visualizzare un elenco degli algoritmi MAC che possono essere utilizzati con il parametro, eseguire il seguente comando da un host:
 

NOTA:
  • "Ivan2" è un utente predefinito, ma è possibile utilizzare qualsiasi utente preferito.
  • "5.6.7.14" è un esempio di indirizzo IP del server NAS abilitato per SFTP. 
  • Questo comando avvia una connessione SSH. Utilizzare una sequenza di tasti ctrl+c per disconnettersi quando viene richiesta una password o rispondere con "no" se viene ricevuto il messaggio "Are you still you want to keep connecting?".
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Una qualsiasi delle crittografie elencate nella seconda riga deve essere un input valido per la modifica del parametro di crittografia. Uno qualsiasi degli algoritmi elencati nella quarta riga deve essere un input valido per la modifica del parametro MAC.

In questo esempio, il parametro è impostato in modo da consentire solo il hmac-sha2-512-etm@openssh.com Algoritmo MAC: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

NOTA: Per consentire più algoritmi MAC, utilizzare un elenco separato da virgole.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
ATTENZIONE: Il sistema può consentire di specificare algoritmi MAC non validi, impedendo a tutti gli utenti di accedere al server SFTP. Assicurarsi di specificare un algoritmo corretto.

I parametri devono essere impostati a livello globale e possono richiedere un riavvio del server SP o NAS per avere effetto completo. Per verificarne il funzionamento, eseguire un comando SFTP specificando un algoritmo MAC disabilitato, insieme a una crittografia non AEAD, come illustrato di seguito: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
Nell'output precedente, il server SFTP rifiuta la connessione poiché l'algoritmo HMAC hmac-sha1 è disabilitato e il client non utilizza AEAD al posto di MAC per garantire l'integrità. Senza forzare il MAC non AEAD, questa operazione potrebbe comunque avere esito positivo anche quando si forza un MAC disabilitato, poiché il client potrebbe comunque ignorare l'impostazione MAC quando AEAD è in uso.

Affected Products

Dell EMC Unity Family
Article Properties
Article Number: 000220538
Article Type: How To
Last Modified: 28 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.