Dell Unity: Jak wyłączyć algorytmy i szyfry MAC dla serwerów NAS z obsługą SFTP

Summary: Wyłączanie mniej bezpiecznych algorytmów i szyfrów MAC dla serwerów NAS z obsługą SFTP. (możliwość korekty z poziomu użytkownika)

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Unity udostępnia parametry umożliwiające dostosowanie algorytmów i szyfrów MAC dostarczanych przez instancję SSHD działającą na serwerach NAS z obsługą SFTP. Lepszym rozwiązaniem może być wyłączenie mniej bezpiecznych szyfrów identyfikowanych przez oprogramowanie do skanowania zabezpieczeń.

Ponieważ nie ma sshd_config plik, który może być edytowany dla serwera NAS z obsługą SFTP, Unity udostępnia dwa parametry jako zamiennik standardowej funkcjonalności. Aby wyświetlić informacje o tych parametrach i ich bieżących ustawieniach, uruchom następujące polecenia:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Parametry te zapewniają taką samą funkcjonalność jak edycja cipher i macs Wartości w sshd_config na standardowym hoście z systemem Linux lub UNIX z uruchomioną standardową implementacją serwera OpenSSH. Formatowanie rozdzielane przecinkami używane dla tych wartości w tym pliku konfiguracyjnym może być również używane w wartościach podanych w poleceniach używanych do ustawiania tych parametrów.

Aby wyświetlić listę algorytmów MAC, których można używać z parametrem, uruchom następujące polecenie z hosta:
 

UWAGA:
  • "ivan2" jest użytkownikiem domyślnym, ale można użyć dowolnego preferowanego użytkownika.
  • "5.6.7.14" to przykładowy adres IP serwera NAS z obsługą SFTP. 
  • To polecenie inicjuje połączenie SSH. Użyj kombinacji ctrl+c, aby rozłączyć się po wyświetleniu monitu o podanie hasła, lub odpowiedz "nie", jeśli pojawi się monit "Czy na pewno chcesz kontynuować łączenie?".
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Każdy z szyfrów wymienionych w drugim wierszu powinien być prawidłowymi danymi wejściowymi dla zmiany parametru szyfru. Każdy z algorytmów wymienionych w czwartym wierszu powinien być prawidłowymi danymi wejściowymi dla zmiany parametru MAC.

W tym przykładzie parametr jest ustawiony tak, aby zezwalał tylko na hmac-sha2-512-etm@openssh.com Algorytm MAC: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

UWAGA: Aby zezwolić na wiele algorytmów MAC, użyj listy rozdzielonej przecinkami.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
PRZESTROGA: System może pozwolić na określenie nieprawidłowych algorytmów MAC, blokując wszystkim użytkownikom dostęp do serwera SFTP. Zadbaj o określenie poprawnego algorytmu.

Parametry muszą być ustawione globalnie i mogą wymagać ponownego uruchomienia serwera SP lub NAS, aby odnieść skutek. Aby sprawdzić, czy to działa, uruchom polecenie SFTP określające algorytm MAC, który został wyłączony, wraz z szyfrem innym niż AEAD, takim jak pokazano poniżej: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
W powyższych danych wyjściowych serwer SFTP odrzuca połączenie, ponieważ algorytm HMAC hmac-sha1 jest wyłączony, a klient nie używa AEAD zamiast MAC w celu zapewnienia integralności. Bez wymuszania adresu MAC innego niż AEAD może się to udać nawet w przypadku wymuszenia wyłączonego adresu MAC, ponieważ klient i tak może zignorować ustawienie MAC, gdy usługa AEAD jest w użyciu.

Affected Products

Dell EMC Unity Family
Article Properties
Article Number: 000220538
Article Type: How To
Last Modified: 28 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.