Dell Unity: Hoe MAC-algoritmen en -cijfers uit te schakelen voor NAS-servers met SFTP

Summary: Minder veilige MAC-algoritmen en -cijfers uitschakelen voor NAS-servers met SFTP. (Op te lossen door gebruiker)

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Unity biedt parameters om de MAC-algoritmen en cijfers aan te passen die worden geleverd door de SSHD-instantie die wordt uitgevoerd op NAS-servers met SFTP. Het kan de voorkeur hebben om minder veilige cijfers uit te schakelen die zijn geïdentificeerd door beveiligingsscansoftware.

Aangezien er geen sshd_config bestand dat kan worden bewerkt voor de SFTP-ingeschakelde NAS-server, biedt Unity twee parameters ter vervanging van de standaardfunctionaliteit. Voer deze opdrachten uit om informatie over deze parameters en hun huidige instellingen weer te geven:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Deze parameters bieden dezelfde functionaliteit als het bewerken van de cipher als macs Waarden in sshd_config op een standaard Linux- of UNIX-host waarop een standaard OpenSSH-serverimplementatie wordt uitgevoerd. De door komma's gescheiden opmaak die voor deze waarden in dat configuratiebestand wordt gebruikt, kan ook worden gebruikt in de waarden die worden opgegeven aan de opdrachten die worden gebruikt om deze parameters in te stellen.

Als u een lijst wilt zien van de MAC-algoritmen die met de parameter kunnen worden gebruikt, voert u de volgende opdracht uit vanaf een host:
 

OPMERKING:
  • "ivan2" is een standaardgebruiker, maar elke voorkeursgebruiker kan worden gebruikt.
  • "5.6.7.14" is een voorbeeld van een IP-adres van de SFTP-ingeschakelde NAS-server. 
  • Met dit commando wordt een SSH-verbinding tot stand gebracht. Gebruik een ctrl+c-toetsencombinatie om de verbinding te verbreken wanneer u om een wachtwoord wordt gevraagd, of reageer met "nee" als een prompt wordt ontvangen met de tekst "Weet u zeker dat u verbinding wilt blijven maken?".
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Elk van de cijfers die op de tweede regel worden vermeld, moet geldige invoer zijn voor de wijziging van de coderingsparameter. Elk van de algoritmen die op de vierde regel worden vermeld, moet geldige invoer zijn voor de wijziging van de MAC-parameter.

In dit voorbeeld is de parameter zo ingesteld dat alleen de hmac-sha2-512-etm@openssh.com MAC-algoritme: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

OPMERKING: Als u meerdere MAC-algoritmen wilt toestaan, gebruikt u een door komma's gescheiden lijst.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
LET OP: Het systeem kan u toestaan ongeldige MAC-algoritmen op te geven, waardoor alle gebruikers geen toegang hebben tot de SFTP-server. Zorg ervoor dat u een correct algoritme specificeert.

De parameters moeten globaal worden ingesteld en mogelijk moet de SP- of NAS-server opnieuw worden opgestart om volledig van kracht te worden. Om te valideren dat dit werkt, voert u een SFTP-opdracht uit die een MAC-algoritme specificeert dat is uitgeschakeld, samen met een niet-AEAD-codering, zoals hieronder te zien is: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
In de bovenstaande uitvoer weigert de SFTP-server de verbinding omdat het HMAC-algoritme hmac-sha1 is uitgeschakeld en de client gebruikt geen AEAD in plaats van een MAC om integriteit te bieden. Zonder de niet-AEAD MAC te forceren, kan dit nog steeds lukken, zelfs bij het forceren van een uitgeschakelde MAC, omdat de client de MAC-instelling toch kan negeren wanneer AEAD in gebruik is.

Affected Products

Dell EMC Unity Family
Article Properties
Article Number: 000220538
Article Type: How To
Last Modified: 28 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.