Dell Unity: Så här inaktiverar du MAC-algoritmer och chiffer för SFTP-aktiverade NAS-servrar

Summary: Så här inaktiverar du mindre säkra MAC-algoritmer och chiffer för SFTP-aktiverade NAS-servrar. (kan korrigeras av användaren)

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Unity tillhandahåller parametrar för att anpassa MAC-algoritmer och chiffer som tillhandahålls av SSHD-instansen som körs på SFTP-aktiverade NAS-servrar. Det kan vara att föredra att inaktivera mindre säkra chiffer som identifieras av programvara för säkerhetsgenomsökning.

Eftersom det inte finns någon sshd_config som kan redigeras för den SFTP-aktiverade NAS-servern tillhandahåller Unity två parametrar som ersättning för standardfunktionerna. Om du vill se information om dessa parametrar och deras aktuella inställningar kör du följande kommandon:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Dessa parametrar har samma funktioner som redigering av cipher och macs värden i sshd_config på en standard Linux- eller UNIX-värd som kör en standard OpenSSH-serverimplementering. Den kommaavgränsade formateringen som används för dessa värden i konfigurationsfilen kan också användas i de värden som anges för de kommandon som används för att ange dessa parametrar.

Om du vill se en lista över de MAC-algoritmer som kan användas med parametern kör du följande kommando från en värd:
 

Obs!
  • "Ivan2" är en standardanvändare, men alla föredragna användare kan användas.
  • 5.6.7.14 är ett exempel på en IP-adress för den SFTP-aktiverade NAS-servern. 
  • Det här kommandot initierar en SSH-anslutning. Använd en ctrl + c-tangentsekvens för att koppla bort när du uppmanas att ange ett lösenord, eller svara med "nej" om du får ett meddelande som säger "Är du säker på att du vill fortsätta ansluta?".
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Alla chiffer som anges på den andra raden ska vara giltiga indata för ändringen av chifferparametern. Alla algoritmer som anges på den fjärde raden ska vara giltiga indata för MAC-parameterändringen.

I det här exemplet är parametern inställd på att endast tillåta hmac-sha2-512-etm@openssh.com MAC-algoritm: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

Obs! Om du vill tillåta flera MAC-algoritmer använder du en kommaavgränsad lista.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
VIKTIGT! Systemet kan tillåta dig att ange ogiltiga MAC-algoritmer, vilket låser alla användare ute från SFTP-servern. Var noga med att ange en korrekt algoritm.

Parametrarna måste ställas in globalt och kan kräva en omstart av SP- eller NAS-servern för att den ska träda i kraft helt. För att validera att detta fungerar kör du ett SFTP-kommando som anger en MAC-algoritm som har inaktiverats, tillsammans med ett icke-AEAD-chiffer enligt nedan: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
I ovanstående utdata nekar SFTP-servern anslutningen eftersom HMAC-algoritmen hmac-sha1 är inaktiverat och klienten använder inte AEAD i stället för en MAC för att tillhandahålla integritet. Om du inte tvingar fram en icke-AEAD-MAC kan detta fortfarande lyckas även när du tvingar fram en inaktiverad MAC, eftersom klienten kan ignorera MAC-inställningen ändå när AEAD används.

Affected Products

Dell EMC Unity Family
Article Properties
Article Number: 000220538
Article Type: How To
Last Modified: 28 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.