Dell Unity: Cómo deshabilitar algoritmos y cifrados MAC para servidores NAS habilitados para SFTP

Resumen: Cómo deshabilitar algoritmos y cifrados MAC menos seguros para servidores NAS habilitados para SFTP. (Corregible por el usuario)

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.
Consulte estos recursos

Instrucciones

Unity proporciona parámetros para personalizar los algoritmos MAC y los cifrados proporcionados por la instancia SSHD que se ejecuta en servidores NAS habilitados para SFTP. Es posible que sea preferible deshabilitar los cifrados menos seguros identificados por el software de escaneo de seguridad.

Dado que no hay sshd_config que se puede editar para el servidor NAS habilitado para SFTP, Unity proporciona dos parámetros como reemplazo de la funcionalidad estándar. Para ver información sobre estos parámetros y su configuración actual, ejecute estos comandos:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Estos parámetros proporcionan la misma funcionalidad que editar el cipher y macs Valores en sshd_config en un host estándar de Linux o UNIX que ejecuta una implementación de servidor OpenSSH estándar. El formato delimitado por comas que se usa para esos valores en ese archivo de configuración también se puede usar en los valores proporcionados a los comandos utilizados para configurar estos parámetros.

Para ver una lista de los algoritmos MAC que se pueden utilizar con el parámetro, ejecute el siguiente comando desde un host:
 

NOTA:
  • "ivan2" es un usuario predeterminado, pero se puede utilizar cualquier usuario preferido.
  • "5.6.7.14" es un ejemplo de dirección IP del servidor NAS habilitado para SFTP. 
  • Este comando inicia una conexión SSH. Utilice una secuencia de teclas ctrl+c para desconectarse cuando se le solicite una contraseña o responda con "no" si se recibe un mensaje que dice "¿Está seguro de que desea continuar conectándose?".
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Cualquiera de los cifrados enumerados en la segunda línea debe ser una entrada válida para el cambio del parámetro de cifrado. Cualquiera de los algoritmos enumerados en la cuarta línea debe ser una entrada válida para el cambio de parámetro MAC.

En este ejemplo, el parámetro está configurado para permitir solo la hmac-sha2-512-etm@openssh.com Algoritmo MAC: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

NOTA: Para permitir varios algoritmos MAC, utilice una lista separada por comas.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
ADVERTENCIA: El sistema puede permitirle especificar algoritmos MAC no válidos, lo que bloquea a todos los usuarios del servidor SFTP. Asegúrese de especificar un algoritmo correcto.

Los parámetros se deben configurar globalmente y pueden requerir un reinicio del servidor NAS o del SP para que surta efecto por completo. Para validar que esto funcione, ejecute un comando SFTP que especifique un algoritmo MAC que se deshabilitó, junto con un cifrado que no sea AEAD, como se muestra a continuación: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
En la salida anterior, el servidor SFTP rechaza la conexión, ya que el algoritmo HMAC hmac-sha1 está deshabilitado y el cliente no utiliza AEAD en lugar de una MAC para proporcionar integridad. Si no se fuerza la MAC que no es AEAD, esto puede tener éxito incluso cuando se fuerza una MAC deshabilitada, ya que el cliente puede ignorar la configuración MAC de todos modos cuando AEAD está en uso.

Productos afectados

Dell EMC Unity Family
Propiedades del artículo
Número del artículo: 000220538
Tipo de artículo: How To
Última modificación: 28 may 2025
Versión:  4
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.