Dell Unity: Як відключити MAC-алгоритми та шифри для серверів NAS з підтримкою SFTP

Summary: Як вимкнути менш безпечні алгоритми та шифри MAC для серверів NAS із підтримкою SFTP. (Виправляється користувачем)

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Unity надає параметри для налаштування алгоритмів і шифрів MAC, що надаються екземпляром SSHD, що працює на серверах NAS з підтримкою SFTP. Можливо, краще вимкнути менш безпечні шифри, визначені програмним забезпеченням для сканування безпеки.

Так як немає sshd_config файл, який можна редагувати для сервера NAS з підтримкою SFTP, Unity надає два параметри як заміну стандартної функціональності. Щоб побачити інформацію про ці параметри та їх поточні налаштування, виконайте такі команди:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Ці параметри надають таку ж функціональність, як і редагування cipher і macs цінностей у sshd_config на стандартному хості Linux або UNIX, що працює на стандартній реалізації сервера OpenSSH. Форматування, розділене комами, яке використовується для тих значень у файлі налаштувань, також може використовуватися у значеннях, що надаються командам, які використовуються для встановлення цих параметрів.

Щоб побачити список алгоритмів MAC, які можна використовувати з параметром, виконайте наступну команду з хоста:
 

ПРИМІТКА.
  • "ivan2" є типовим користувачем, але можна використовувати будь-якого бажаного користувача.
  • "5.6.7.14" – це приклад IP-адреси сервера NAS із підтримкою SFTP. 
  • Ця команда ініціює з'єднання SSH. Використовуйте послідовність клавіш ctrl+c, щоб розірвати з'єднання, коли з'явиться запит на введення пароля, або дайте відповідь «ні», якщо надійде запит «Ви впевнені, що хочете продовжити підключення?».
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Будь-який з шифрів, перелічених у другому рядку, повинен бути допустимими входами для зміни параметрів шифру. Будь-який з алгоритмів, перелічених у четвертому рядку, повинен бути допустимими входами для зміни параметрів MAC.

У цьому прикладі параметр встановлено таким чином, щоб дозволити лише hmac-sha2-512-etm@openssh.com Алгоритм роботи MAC: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

ПРИМІТКА. Щоб дозволити кілька алгоритмів MAC, використовуйте список, відокремлений комами.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
ОБЕРЕЖНІСТЬ: Система може дозволити вам вказувати невірні алгоритми MAC, блокуючи доступ усіх користувачів до SFTP-сервера. Подбайте про те, щоб вказати правильний алгоритм.

Параметри повинні бути встановлені глобально і можуть вимагати перезавантаження сервера SP або NAS для повного вступу в силу. Щоб перевірити, що це працює, запустіть команду SFTP, яка вказує алгоритм MAC, який був вимкнений, разом із шифром без AEAD, наприклад, як показано нижче: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
У наведеному вище виводі SFTP-сервер відмовляється від з'єднання, оскільки алгоритм HMAC hmac-sha1 вимкнено, і клієнт не використовує AEAD замість MAC для забезпечення цілісності. Без примусового використання не-AEAD MAC це може бути успішним навіть при примусовому використанні вимкненого MAC, оскільки клієнт все одно може ігнорувати налаштування MAC, коли використовується AEAD.

Affected Products

Dell EMC Unity Family
Article Properties
Article Number: 000220538
Article Type: How To
Last Modified: 28 May 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.