Dell Unity: Виявлення протоколу Nessus Full Safe Vulnerability Security Scan TLS версії 1.0 (можна виправити користувачем)
Riepilogo: У цій статті пояснюється, як вимкнути TLS 1.0 і 1.1 на порту 443 і порту 5085.
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
Попередня стаття 000022527
Dell Unity: Як відключити TLS 1.0 і 1.1 на Unity Array (виправляється користувачем). Однак сканер вразливостей (Nessus) виявив уразливість TLS на порту 5085.
Виявлені вразливості:https://www.tenable.com/plugins/nessus/104743
Плагін:
104743 Назва плагіна: Порт виявлення
протоколу TLS версії 1.0: Вихід плагіна 5085
: TLSv1 увімкнено, і сервер підтримує принаймні один шифр.
Підсумок: Віддалений сервіс шифрує трафік за допомогою старішої версії TLS.
Рішення: Увімкніть підтримку TLS 1.2 і 1.3 і вимкніть підтримку TLS 1.0.
Dell Unity: Як відключити TLS 1.0 і 1.1 на Unity Array (виправляється користувачем). Однак сканер вразливостей (Nessus) виявив уразливість TLS на порту 5085.
Виявлені вразливості:https://www.tenable.com/plugins/nessus/104743
Плагін:
104743 Назва плагіна: Порт виявлення
протоколу TLS версії 1.0: Вихід плагіна 5085
: TLSv1 увімкнено, і сервер підтримує принаймні один шифр.
Підсумок: Віддалений сервіс шифрує трафік за допомогою старішої версії TLS.
Рішення: Увімкніть підтримку TLS 1.2 і 1.3 і вимкніть підтримку TLS 1.0.
Causa
Команда "uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2" вимикає лише порт 443.
Якщо потрібно вимкнути порт 5085, вам слід скористатися параметром "-param" у команді svc_nas.
Якщо потрібно вимкнути порт 5085, вам слід скористатися параметром "-param" у команді svc_nas.
Risoluzione
Вимкніть TLS 1.0 і 1.1 (порт 5085), виконавши наведені нижче дії:
1. Перевірте поточні налаштування.
svc_nas ALL -param -facility ssl -info protocol -v
2. Змініть значення на "4" = TLSv1.2 і вище".
svc_nas ALL -param -facility ssl -modify protocol -value 4
3. Переконайтеся, що current_value змінено на "4" =TLSv1.2 або вище.
svc_nas ALL -param -facility ssl -info protocol -v
4. Перезавантажуйте процесори зберігання даних по черзі.
UI(Unisphere):
SYSTEM >>>Service>>> Service Tasks >>> (Storage Processor X) Виберіть Reboot (Перезавантажити) і натисніть Execute.
КЛІ:
svc_shutdown --reboot [spa | spb]
5. Переконайтеся, що current_value змінено на "4"=TLSv1.2 або вище.
Example of changing from TLSv1.0 to TLSv1.2 (Port 5085): 1. Check the current settings. XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v name = protocol facility_name = ssl default_value = 2 <<< current_value = 2 <<< configured_value = <<< param_type = global user_action = reboot SP change_effective = reboot SP range = (0,4) description = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above 2. Change the value to "4" = TLSv1.2 and above". XXXXX spa:~/user# svc_nas ALL -param -facility ssl -modify protocol -value 4 SPA : done Warning 17716815750: SPA : You must reboot the SP for protocol changes to take effect. SPB : done Warning 17716815750: SPB : You must reboot the SP for protocol changes to take effect. 3. Confirm that the configured_value has been changed to "4"=TLSv1.2 and above. XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v SPA : name = protocol facility_name = ssl default_value = 2 current_value = 2 <<<< current_value is changed after restart configured_value = 4 <<<< param_type = global user_action = reboot SP change_effective = reboot SP range = (0,4) description = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above 4. Reboot Storage Processor (both SPs alternately). 5. Confirm that the current_value has been changed to "4"=TLSv1.2 and above. XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v SPA : name = protocol facility_name = ssl default_value = 2 current_value = 4 <<<< configured_value = 4 param_type = global user_action = reboot SP change_effective = reboot SP range = (0,4) description = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and aboveВимкніть TLS 1.0 і 1.1 (порт 443).
Витяг зі статті 000022527.
●Unity OE 5.1 і пізніших версій за допомогою наведеної нижче команди:Показати поточні налаштування за допомогою команди:
uemcli -u admin -password <Your Password> /sys/security showВимкніть TLS 1.0 і 1.1, встановивши -tlsMode TLSv1.2:
uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2
Приклад переходу з TLSv1.0 на TLSv1.2(Port443):
XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS mode = TLSv1.0 and above
Restricted shell mode = enabled
XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.
XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS mode = TLSv1.2 and above <<<
Restricted shell mode = enabled
Якщо масив працює під керуванням OE від 4.3 до 5.0, вимкніть TLS 1.0 (порт 443) за допомогою наведеної нижче команди:Показати поточні налаштування за допомогою команди:
uemcli -u admin -password <Your Password> /sys/security show -detailВимкніть TLS 1.0 командою:
uemcli -u admin -password <Your Password> /sys/security set -tls1Enabled noУвімкніть TLS 1.2 за допомогою команди:
uemcli -u admin -password <Your Password> /sys/security -tlsMode TLSv1.2
Приклад переходу з TLSv1.0 на TLSv1.2 (порт 443):
XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS 1.0 mode = enabled
TLS mode = TLSv1.0 and above
Restricted shell mode = enabled
XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.
XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS 1.0 mode = disabled <<<
TLS mode = TLSv1.2 and above <<<
Restricted shell mode = enabled Примітка:Наступний «Код помилки:
0x1000302» може з'явитися відразу після зміни налаштувань.
Якщо виникає помилка, спробуйте виконати команду ще раз приблизно через 5 хвилин.
Operation failed. Error code: 0x1000302 Remote server is not available. Please contact server support (Error Code:0x1000302)
Prodotti interessati
Dell EMC Unity, Dell EMC Unity Family |Dell EMC Unity All FlashProprietà dell'articolo
Numero articolo: 000221891
Tipo di articolo: Solution
Ultima modifica: 20 feb 2024
Versione: 1
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.