Dell Unity: Jak zakázat algoritmy a šifry MAC pro servery NAS s povoleným SFTP

摘要: Jak zakázat méně bezpečné algoritmy a šifry MAC pro servery NAS s podporou SFTP. (oprava uživatelem)

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

Unity poskytuje parametry pro přizpůsobení algoritmů a šifer MAC poskytovaných instancí SSHD spuštěnou na serverech NAS s podporou SFTP. Může být vhodnější zakázat méně bezpečné šifry identifikované bezpečnostním skenovacím softwarem.

Vzhledem k tomu, že neexistuje žádný sshd_config , který lze upravovat pro server NAS s podporou SFTP, Unity poskytuje dva parametry jako náhradu za standardní funkce. Chcete-li zobrazit informace o těchto parametrech a jejich aktuálním nastavení, spusťte tyto příkazy:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Tyto parametry poskytují stejné funkce jako úprava cipher a macs Hodnoty v sshd_config na standardním linuxovém nebo unixovém hostiteli se standardní implementací serveru OpenSSH. Formátování oddělené čárkami, které se používá pro tyto hodnoty v tomto konfiguračním souboru, lze také použít v hodnotách poskytovaných příkazům použitým k nastavení těchto parametrů.

Chcete-li zobrazit seznam algoritmů MAC, které lze použít s parametrem, spusťte z hostitele následující příkaz:
 

POZNÁMKA:
  • "ivan2" je výchozí uživatel, ale lze použít libovolného preferovaného uživatele.
  • "5.6.7.14" je příklad IP adresy serveru NAS s povoleným SFTP. 
  • Tento příkaz inicializuje připojení SSH. Pomocí kombinace kláves Ctrl+C se odpojte, když budete vyzváni k zadání hesla, nebo odpovězte "ne", pokud se zobrazí výzva "Are you sure you want to continue connecting?"
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Kterákoli ze šifer uvedených na druhém řádku by měla být platnými vstupy pro změnu parametru šifry. Kterýkoli z algoritmů uvedených na čtvrtém řádku by měl být platným vstupem pro změnu parametru MAC.

V tomto příkladu je parametr nastaven tak, aby umožňoval pouze hmac-sha2-512-etm@openssh.com Algoritmus MAC: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

POZNÁMKA: Chcete-li povolit více algoritmů MAC, použijte seznam oddělený čárkami.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
VAROVÁNÍ: Systém vám může umožnit zadat neplatné algoritmy MAC, které zablokují přístup všech uživatelů k serveru SFTP. Dbejte na to, abyste zadali správný algoritmus.

Parametry je nutné nastavit globálně a mohou vyžadovat restart SP nebo serveru NAS, aby se plně projevily. Chcete-li ověřit, že to funguje, spusťte příkaz SFTP specifikující algoritmus MAC, který byl zakázán, spolu se šifrou bez AEAD, jak je vidět níže: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
Ve výše uvedeném výstupu server SFTP odmítá připojení, protože algoritmus HMAC hmac-sha1 je zakázána a klient nepoužívá AEAD místo MAC k zajištění integrity. Bez vynucení MAC bez AEAD to může být stále úspěšné i při vynucení zakázané MAC, protože klient může ignorovat nastavení MAC tak jako tak, když se AEAD používá.

受影响的产品

Dell EMC Unity Family
文章属性
文章编号: 000220538
文章类型: How To
上次修改时间: 28 5月 2025
版本:  4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。