Dell Unity: Sådan deaktiveres MAC-algoritmer og cifre for SFTP-aktiverede NAS-servere

摘要: Sådan deaktiveres mindre sikre MAC-algoritmer og cifre for SFTP-aktiverede NAS-servere. (Kan rettes af brugeren)

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

Unity leverer parametre til tilpasning af MAC-algoritmer og cifre, der leveres af SSHD-forekomsten, der kører på SFTP-aktiverede NAS-servere. Det kan være at foretrække at deaktivere mindre sikre cifre, der identificeres af sikkerhedsscanningssoftware.

Da der ikke er nogen sshd_config fil, der kan redigeres for den SFTP-aktiverede NAS-server, indeholder Unity to parametre som erstatning for standardfunktionaliteten. Hvis du vil se oplysninger om disse parametre og deres aktuelle indstillinger, skal du køre disse kommandoer:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Disse parametre giver samme funktionalitet som redigering af cipher og macs værdier i sshd_config på en standard Linux- eller UNIX-vært, der kører en standard OpenSSH-serverimplementering. Den kommaseparerede formatering, der bruges til disse værdier i konfigurationsfilen, kan også bruges i de værdier, der leveres til kommandoerne, der bruges til at angive disse parametre.

Hvis du vil se en liste over de MAC-algoritmer, der kan bruges sammen med parameteren, skal du køre følgende kommando fra en vært:
 

BEMÆRK:
  • "Ivan2" er standardbruger, men enhver foretrukken bruger kan bruges.
  • "5.6.7.14" er et eksempel på IP-adressen på den SFTP-aktiverede NAS-server. 
  • Denne kommando starter en SSH-forbindelse. Brug en ctrl+c-tastesekvens til at afbryde forbindelsen, når du bliver bedt om en adgangskode, eller svar med "nej", hvis du bliver bedt om at sige "Er du sikker på, at du vil fortsætte forbindelsen?".
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Enhver af de cifre, der er anført på den anden linje, skal være gyldige input til chifferparameterændringen. Enhver af algoritmerne, der er anført på fjerde linje, skal være gyldige input til MAC-parameterændringen.

I dette eksempel er parameteren indstillet til kun at tillade hmac-sha2-512-etm@openssh.com MAC-algoritme: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

BEMÆRK: Hvis du vil tillade flere MAC-algoritmer, skal du bruge en kommasepareret liste.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
FORSIGTIG: Systemet kan give dig mulighed for at angive ugyldige MAC-algoritmer, der låser alle brugere ude af SFTP-serveren. Sørg for at angive en korrekt algoritme.

Parametrene skal indstilles globalt og kan kræve en genstart af SP- eller NAS-serveren for at træde helt i kraft. For at validere, at dette fungerer, skal du køre en SFTP-kommando, der angiver en MAC-algoritme, som blev deaktiveret, sammen med en ikke-AEAD-chiffer som vist nedenfor: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
I ovenstående output nægter SFTP-serveren forbindelsen, da HMAC-algoritmen hmac-sha1 er deaktiveret, og klienten bruger ikke AEAD i stedet for en MAC for at give integritet. Uden at tvinge ikke-AEAD MAC kan dette stadig lykkes, selv når du tvinger en deaktiveret MAC, da klienten muligvis ignorerer MAC-indstillingen alligevel, når AEAD er i brug.

受影响的产品

Dell EMC Unity Family
文章属性
文章编号: 000220538
文章类型: How To
上次修改时间: 28 5月 2025
版本:  4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。