Dell Unity. Как отключить алгоритмы и шифры MAC для серверов NAS с поддержкой SFTP

Summary: Как отключить менее защищенные алгоритмы и шифры MAC для серверов NAS с поддержкой SFTP. (Исправляется пользователем)

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Unity предоставляет параметры для настройки алгоритмов MAC и шифров, предоставляемых экземпляром SSHD, работающим на серверах NAS с поддержкой SFTP. Возможно, предпочтительнее отключить менее защищенные шифры, которые определяются программным обеспечением для сканирования безопасности.

Так как нет sshd_config , который можно редактировать для сервера NAS с поддержкой SFTP, Unity предоставляет два параметра в качестве замены стандартной функциональности. Для просмотра информации об этих параметрах и их текущих настройках выполните следующие команды:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Эти параметры обеспечивают ту же функциональность, что и редактирование cipher и macs Значения в sshd_config на стандартном хосте Linux или UNIX, на котором запущена стандартная реализация сервера OpenSSH. Разделенные запятыми форматирование, используемое для этих значений в этом файле конфигурации, также может использоваться в значениях, предоставленных командам, используемым для установки этих параметров.

Чтобы просмотреть список алгоритмов MAC, которые можно использовать с этим параметром, выполните следующую команду с хоста:
 

ПРИМЕЧАНИЕ.
  • "ivan2" является пользователем по умолчанию, но может быть использован любой предпочтительный пользователь.
  • «5.6.7.14» — пример IP-адреса сервера сетевой системы хранения данных с поддержкой SFTP. 
  • Эта команда инициирует соединение SSH. Используйте комбинацию клавиш ctrl+c, чтобы разорвать соединение при запросе пароля, или ответьте «нет» при появлении запроса «Вы действительно хотите продолжить подключение?».
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Все шифры, перечисленные во второй строке, должны быть допустимыми входными данными для изменения параметра шифра. Любой из алгоритмов, перечисленных в четвертой строке, должен быть допустимыми входными данными для изменения параметра MAC.

В данном примере параметр имеет значение hmac-sha2-512-etm@openssh.com Алгоритм MAC: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

ПРИМЕЧАНИЕ. Чтобы разрешить несколько алгоритмов MAC, используйте список, разделенный запятыми.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
ВНИМАНИЕ! Система может разрешить указывать недопустимые алгоритмы MAC, что приведет к блокировке доступа всех пользователей к серверу SFTP. Позаботьтесь о том, чтобы указать правильный алгоритм.

Параметры должны быть заданы глобально, и для полного вступления в силу может потребоваться перезагрузка процессора СХД или сервера сетевой системы хранения данных. Чтобы убедиться, что это работает, выполните команду SFTP, указав алгоритм MAC, который был отключен, а также шифр, отличный от AEAD, как показано ниже: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
В приведенном выше выводе SFTP-сервер отклоняет подключение, так как алгоритм HMAC hmac-sha1 отключено, и клиент не использует AEAD вместо MAC для обеспечения целостности. Без принудительного использования MAC-адреса, не являющегося AEAD, это все равно может быть успешным даже при принудительном использовании отключенного MAC, поскольку клиент может игнорировать настройку MAC в любом случае при использовании AEAD.

Affected Products

Dell EMC Unity Family
Article Properties
Article Number: 000220538
Article Type: How To
Last Modified: 28 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.