Dell Unity:SFTP対応NASサーバーのMACアルゴリズムと暗号を無効にする方法
Summary: SFTP対応NASサーバーの安全性の低いMACアルゴリズムと暗号を無効にする方法。(ユーザー修正可能)(英語)」
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Unityには、SFTP対応NASサーバーで実行されているSSHDインスタンスによって提供されるMACアルゴリズムと暗号をカスタマイズするためのパラメーターが用意されています。セキュリティ スキャン ソフトウェアによって識別された安全性の低い暗号を無効にすることが望ましい場合があります
ないので sshd_config SFTP対応NASサーバー用に編集可能なファイルの場合、Unityでは標準機能の代わりとして2つのパラメーターが用意されています。これらのパラメーターとその現在の設定に関する情報を表示するには、次のコマンドを実行します。
svc_nas ALL -param -f sshd -i cipher svc_nas ALL -param -f sshd -i mac
これらのパラメーターは、 cipher と macs 値 sshd_config 標準OpenSSHサーバー実装を実行している標準LinuxまたはUNIXホスト上。その構成ファイル内のこれらの値に使用されるコンマ区切りの書式設定は、これらのパラメーターの設定に使用されるコマンドに提供される値でも使用できます。
パラメーターで使用できるMACアルゴリズムのリストを表示するには、ホストから次のコマンドを実行します。
メモ:
- 「ivan2」はデフォルトのユーザーですが、任意の優先ユーザーを使用できます。
- 「5.6.7.14」は、SFTP対応NASサーバーのIPアドレスの例です。
- このコマンドにより、SSH接続が開始されます。パスワードの入力を求められたら、ctrl+cキー シーケンスを使用して接続を切断するか、「接続を続行してもよろしいですか?」というプロンプトが表示されたら「いいえ」と応答します。
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher" debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512 debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512 debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1 debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1 debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none2行目にリストされている暗号のいずれかが、暗号パラメーターの変更に有効な入力である必要があります。4 行目にリストされているアルゴリズムのいずれかが、MAC パラメーター変更の有効な入力である必要があります。
この例では、パラメーターは
hmac-sha2-512-etm@openssh.com MACアルゴリズム:
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com
メモ: 複数のMACアルゴリズムを許可するには、コンマ区切りリストを使用します。
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
警告:システムでは、無効なMACアルゴリズムを指定して、すべてのユーザーをSFTPサーバーからロックアウトできる場合があります。正しいアルゴリズムを指定するように注意してください。
パラメーターはグローバルに設定する必要があり、完全に有効にするにはSPまたはNASサーバーの再起動が必要になる場合があります。これが機能していることを確認するには、次に示すように、無効にされたMACアルゴリズムと非AEAD暗号を指定してSFTPコマンドを実行します。
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14 Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com Connection closed. Connection closed上記の出力では、SFTPサーバーはHMACアルゴリズム
hmac-sha1 が無効になっており、クライアントが MAC の代わりに AEAD を使用して整合性を提供していない。AEAD 以外の MAC を強制しなくても、AEAD の使用中にクライアントが MAC 設定を無視する可能性があるため、無効な MAC を強制しても、これは成功する可能性があります。Affected Products
Dell EMC Unity FamilyArticle Properties
Article Number: 000220538
Article Type: How To
Last Modified: 28 May 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.