Dell Unity: Como desativar algoritmos e cifras MAC para servidores NAS habilitados para SFTP

Summary: Como desativar algoritmos e cifras MAC menos seguros para servidores NAS habilitados para SFTP. (Corrigível pelo usuário)

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

O Unity fornece parâmetros para personalizar os algoritmos MAC e as cifras fornecidas pela instância SSHD em execução em servidores NAS habilitados para SFTP. Talvez seja preferível desativar as cifras menos seguras identificadas pelo software de verificação de segurança.

Uma vez que não há sshd_config arquivo que pode ser editado para o servidor NAS habilitado para SFTP. O Unity fornece dois parâmetros como uma substituição para a funcionalidade padrão. Para ver informações sobre esses parâmetros e suas configurações atuais, execute estes comandos:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Esses parâmetros fornecem a mesma funcionalidade que a edição do cipher e macs valores em sshd_config em um host Linux ou UNIX padrão executando uma implementação de servidor OpenSSH padrão. A formatação delimitada por vírgulas usada para esses valores nesse arquivo de configuração também pode ser usada nos valores fornecidos aos comandos usados para definir esses parâmetros.

Para ver uma lista dos algoritmos MAC que podem ser usados com o parâmetro, execute o seguinte comando de um host:
 

Nota:
  • "ivan2" é um usuário padrão, mas qualquer usuário preferencial pode ser usado.
  • "5.6.7.14" é um exemplo de endereço IP do servidor NAS habilitado para SFTP. 
  • Esse comando inicia uma conexão SSH. Use uma sequência de teclas ctrl+c para se desconectar quando for solicitada uma senha ou responda com "não" se um prompt dizendo "Tem certeza de que deseja continuar a conexão?" for recebido.
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Qualquer uma das cifras listadas na segunda linha deve ser entradas válidas para a alteração do parâmetro da cifra. Qualquer um dos algoritmos listados na quarta linha deve ser entradas válidas para a alteração do parâmetro MAC.

Neste exemplo, o parâmetro é definido para permitir apenas o hmac-sha2-512-etm@openssh.com Algoritmo MAC: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

Nota: Para permitir vários algoritmos MAC, use uma lista separada por vírgulas.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
AVISO: O sistema pode permitir que você especifique algoritmos MAC inválidos, bloqueando todos os usuários fora do servidor SFTP. Especifique um algoritmo correto.

Os parâmetros devem ser definidos globalmente e podem exigir uma reinicialização da SP ou do servidor NAS para ter efeito total. Para validar se isso está funcionando, execute um comando SFTP especificando um algoritmo MAC que foi desativado, juntamente com uma codificação não-AEAD, como visto abaixo: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
Na saída acima, o servidor SFTP recusa a conexão, pois o algoritmo HMAC hmac-sha1 está desativado e o cliente não está usando o AEAD no lugar de um MAC para fornecer integridade. Sem forçar o MAC não-AEAD, isso ainda pode ser bem-sucedido mesmo quando forçar um MAC desativado, já que o cliente pode ignorar a configuração MAC de qualquer maneira quando AEAD está em uso.

Affected Products

Dell EMC Unity Family
Article Properties
Article Number: 000220538
Article Type: How To
Last Modified: 28 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.