Dell Unity. Nessus Full Safe Vulnerability Security Scan, обнаружение протокола TLS версии 1.0 (исправляется пользователем)

Предыдущая статья 000022527 
Dell Unity. Отключение TLS 1.0 и 1.1 в массиве Unity (исправляется пользователем).  Однако сканер уязвимостей (Nessus) обнаружил уязвимость TLS на порте 5085.
Обнаруженные уязвимости:https://www.tenable.com/plugins/nessus/104743
Плагин:

104743 Имя плагина: Порт обнаружения
протокола TLS версии 1.0: Выходные данные подключаемого модуля 5085
: TLSv1 включен, и сервер поддерживает как минимум один шифр.
Обзор: Удаленная служба шифрует трафик с помощью более старой версии TLS.
Решение: Включите поддержку TLS 1.2 и 1.3 и отключите поддержку TLS 1.0.

Команда «uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2» отключает только порт 443.
Если требуется отключить порт 5085, необходимо использовать параметр «-param» в команде svc_nas.

Отключите TLS 1.0 и 1.1 (порт 5085), выполнив следующие действия:
1. Проверьте текущие настройки.

svc_nas ALL -param -facility ssl -info protocol -v

2. Измените значение на «4» = TLSv1.2 и выше».

svc_nas ALL -param -facility ssl -modify protocol -value 4

3. Убедитесь, что current_value изменен на «4» =TLSv1.2 и выше.

svc_nas ALL -param -facility ssl -info protocol -v

4. Перезагружайте процессоры СХД по одному.
Пользовательский интерфейс (Unisphere):
СИСТЕМА >>> Сервисные >>>сервисные задания >>> (процессор СХД X) Выберите Reboot и нажмите Execute.

Интерфейс командной строки:

svc_shutdown --reboot [spa | spb] 

5. Убедитесь, что current_value изменен на «4»=TLSv1.2 и выше.

Example of changing from TLSv1.0 to TLSv1.2 (Port 5085):

1. Check the current settings.
XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v

name                    = protocol
facility_name           = ssl
default_value           = 2   <<<
current_value           = 2   <<<
configured_value        =     <<<
param_type              = global
user_action             = reboot SP
change_effective        = reboot SP
range                   = (0,4)
description             = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above

2. Change the value to "4" = TLSv1.2 and above".
XXXXX spa:~/user# svc_nas ALL -param -facility ssl -modify protocol -value 4

SPA : done

Warning 17716815750: SPA : You must reboot the SP for protocol changes to take effect.
SPB : done
 
Warning 17716815750: SPB : You must reboot the SP for protocol changes to take effect.

3. Confirm that the configured_value has been changed to "4"=TLSv1.2 and above.
XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v

SPA :
name                    = protocol
facility_name           = ssl
default_value           = 2
current_value           = 2　　<<<<　current_value is changed after restart
configured_value        = 4　　<<<<
param_type              = global
user_action             = reboot SP
change_effective        = reboot SP
range                   = (0,4)
description             = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above

4. Reboot Storage Processor (both SPs alternately).

5. Confirm that the current_value has been changed to "4"=TLSv1.2 and above.

XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v

SPA :
name                    = protocol
facility_name           = ssl
default_value           = 2
current_value           = 4　　<<<< 
configured_value        = 4
param_type              = global
user_action             = reboot SP
change_effective        = reboot SP
range                   = (0,4)
description             = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above

Отключите TLS 1.0 и 1.1 (порт 443). 
Выдержка из статьи 000022527.
●Массивы Unity OE 5.1 и более поздних версий с помощью следующей команды:Показать текущие настройки с помощью команды:
 

uemcli -u admin -password <Your Password> /sys/security show

Отключите TLS 1.0 и 1.1, задав -tlsMode TLSv1.2:

uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2

Пример перехода с TLSv1.0 на TLSv1.2 (порт 443):

XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS mode              = TLSv1.0 and above
      Restricted shell mode = enabled

XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.

XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS mode              = TLSv1.2 and above　　<<<
      Restricted shell mode = enabled

Если массив работает под управлением операционной среды версии 4.3–5.0, отключите TLS 1.0 (порт 443) с помощью следующей команды:Отображение текущих настроек с помощью команды:
 

uemcli -u admin -password <Your Password> /sys/security show -detail

Отключите TLS 1.0 с помощью команды: 

uemcli -u admin -password <Your Password> /sys/security set -tls1Enabled no

Включите TLS 1.2 с помощью команды: 

uemcli -u admin -password <Your Password> /sys/security -tlsMode TLSv1.2

Пример перехода с TLSv1.0 на TLSv1.2 (порт 443): 

XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS 1.0 mode          = enabled
      TLS mode              = TLSv1.0 and above
      Restricted shell mode = enabled

XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.

XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS 1.0 mode          = disabled               <<<
      TLS mode              = TLSv1.2 and above　　 <<<
      Restricted shell mode = enabled

Примечание:Следующий "Код ошибки:
0x1000302» может появиться сразу после изменения настроек.
Если возникает ошибка, попробуйте выполнить команду еще раз примерно через 5 минут.

Operation failed. Error code: 0x1000302
Remote server is not available. Please contact server support (Error Code:0x1000302)