Dell Unity: SFTP Etkin NAS Sunucuları için MAC Algoritmalarını ve Şifrelerini Devre Dışı Bırakma

Summary: SFTP özellikli NAS sunucuları için daha az güvenli MAC algoritmalarını ve şifrelerini devre dışı bırakma. (Kullanıcı Tarafından Düzeltilebilir)

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Unity, SFTP özellikli NAS sunucularında çalışan SSHD örneği tarafından sağlanan MAC algoritmalarını ve şifrelerini özelleştirmek için parametreler sağlar. Güvenlik tarama yazılımı tarafından tanımlanan daha az güvenli şifrelerin devre dışı bırakılması tercih edilebilir.

Olmadığı için sshd_config dosyasında, SFTP özellikli NAS sunucusu için düzenlenebilir. Unity, standart işlevselliğin yerine iki parametre sunar. Bu parametreler ve geçerli ayarları hakkında bilgi almak için şu komutları çalıştırın:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Bu parametreler, düzenleyiciyle aynı işlevselliği sağlar. cipher ve macs Değerlerimiz: sshd_config standart bir OpenSSH sunucu uygulaması çalıştıran standart bir Linux veya UNIX ana bilgisayarında. Söz konusu yapılandırma dosyasındaki değerler için kullanılan virgülle ayrılmış biçimlendirme, bu parametreleri ayarlamak için kullanılan komutlara sağlanan değerlerde de kullanılabilir.

Parametresiyle birlikte kullanılabilecek MAC algoritmalarının listesini görmek için ana bilgisayardan aşağıdaki komutu çalıştırın:
 

NOT:
  • "ivan2" varsayılan bir kullanıcıdır ancak tercih edilen herhangi bir kullanıcı kullanılabilir.
  • 5.6.7.14", SFTP etkin NAS sunucusu için örnek bir IP adresidir. 
  • Bu komut bir SSH bağlantısı başlatır. Parola istendiğinde bağlantıyı kesmek için ctrl+c tuş dizisini kullanın veya "Bağlanmaya devam etmek istediğinizden emin misiniz?" uyarısı alınırsa "hayır" ile yanıt verin.
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
İkinci satırda listelenen şifrelerden herhangi biri, şifre parametresi değişikliği için geçerli girişler olmalıdır. Dördüncü satırda listelenen algoritmalardan herhangi biri, MAC parametresi değişikliği için geçerli girişler olmalıdır.

Bu örnekte, parametre yalnızca hmac-sha2-512-etm@openssh.com MAC algoritması: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

NOT: Birden fazla MAC algoritmasına izin vermek için virgülle ayrılmış bir liste kullanın.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
DİKKAT: Sistem, geçersiz MAC algoritmaları belirtmenize izin vererek tüm kullanıcıları SFTP sunucusuna kilitleyebilir. Doğru bir algoritma belirtmeye özen gösterin.

Parametreler genel olarak ayarlanmalıdır ve tam anlamıyla etkinleşmesi için SP veya NAS sunucusunun yeniden başlatılması gerekebilir. Bunun çalıştığını doğrulamak için aşağıda görüldüğü gibi AEAD olmayan bir şifreyle birlikte devre dışı bırakılmış bir MAC algoritmasını belirten bir SFTP komutu çalıştırın: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
Yukarıdaki çıktıda, SFTP sunucusu, HMAC algoritması hmac-sha1 devre dışı bırakılır ve istemci, bütünlüğü sağlamak için MAC yerine AEAD kullanmaz. AEAD olmayan MAC'i zorlamadan, devre dışı bırakılmış bir MAC'i zorlasanız bile bu işlem başarılı olabilir, çünkü AEAD kullanılırken istemci yine de MAC ayarını yoksayabilir.

Affected Products

Dell EMC Unity Family
Article Properties
Article Number: 000220538
Article Type: How To
Last Modified: 28 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.