Dell Unity: Kuinka poistaa MAC-algoritmit ja salaukset käytöstä SFTP-yhteensopivissa NAS-palvelimissa
摘要: Vähemmän turvallisten MAC-algoritmien ja -salausten poistaminen käytöstä SFTP-yhteensopivissa NAS-palvelimissa. (käyttäjän korjattavissa)
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
Unity tarjoaa parametreja, joiden avulla voidaan mukauttaa SFTP-yhteensopivissa NAS-palvelimissa toimivan SSHD-instanssin tarjoamia MAC-algoritmeja ja salauksia. Voi olla parempi poistaa käytöstä tietoturvatarkistusohjelmiston tunnistamat vähemmän turvalliset salaukset.
Koska ei ole sshd_config tiedosto, jota voidaan muokata SFTP-yhteensopivassa NAS-palvelimessa, Unity tarjoaa kaksi parametria vakiotoimintojen korvaamiseksi. Saat lisätietoja näistä parametreista ja niiden nykyisistä asetuksista suorittamalla seuraavat komennot:
svc_nas ALL -param -f sshd -i cipher svc_nas ALL -param -f sshd -i mac
Nämä parametrit tarjoavat samat toiminnot kuin cipher ja macs Arvot sshd_config tavallisessa Linux- tai UNIX-isännässä, jossa on OpenSSH-vakiopalvelintoteutus. Kyseisissä arvoissa kyseisessä määritystiedostossa käytettyä pilkuilla eroteltua muotoilua voidaan käyttää myös näiden parametrien määrittämiseen käytettyjen komentojen arvoissa.
Jos haluat nähdä luettelon parametrin kanssa käytettävistä MAC-algoritmeista, suorita seuraava komento isännästä:
HUOMAUTUS:
- "Ivan2" on oletuskäyttäjä, mutta mitä tahansa ensisijaista käyttäjää voidaan käyttää.
- 5.6.7.14 on esimerkki SFTP-yhteensopivan NAS-palvelimen IP-osoitteesta.
- Tämä komento käynnistää SSH-yhteyden. Katkaise yhteys näppäinyhdistelmällä Ctrl+C, kun käyttäjältä pyydetään salasanaa, tai vastaa "ei", jos näyttöön tulee kehote "Haluatko varmasti jatkaa yhteyttä?".
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher" debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512 debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512 debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1 debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1 debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: noneMinkä tahansa toisella rivillä luetelluista salauksista tulisi olla kelvollisia syötteitä salausparametrin muutokselle. Kaikkien neljännellä rivillä lueteltujen algoritmien pitäisi olla kelvollisia syötteitä MAC-parametrin muutokselle.
Tässä esimerkissä parametri on määritetty sallimaan vain
hmac-sha2-512-etm@openssh.com MAC-algoritmi:
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com
HUOMAUTUS: Jos haluat sallia useita MAC-algoritmeja, käytä pilkuilla erotettua luetteloa.
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
HUOMIO: Järjestelmä saattaa sallia virheellisten MAC-algoritmien määrittämisen, mikä lukitsee kaikki käyttäjät ulos SFTP-palvelimesta. Varmista, että määrität oikean algoritmin.
Parametrit on määritettävä maailmanlaajuisesti, ja ne saattavat edellyttää SP- tai NAS-palvelimen uudelleenkäynnistystä. Tarkista, että tämä toimii, suorittamalla SFTP-komento, joka määrittää käytöstä poistetun MAC-algoritmin sekä muun kuin AEAD-salauksen, kuten alla:
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14 Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com Connection closed. Connection closedYllä olevassa lähdössä SFTP-palvelin kieltäytyy yhteydestä, koska HMAC-algoritmi
hmac-sha1 on poistettu käytöstä, eikä asiakas käytä AEAD:ia MAC:n sijasta eheyden varmistamiseksi. Ilman muiden kuin AEAD-MAC: n pakottamista tämä voi silti onnistua, vaikka pakotettaisiin käytöstä poistettu MAC, koska asiakas saattaa ohittaa MAC-asetuksen joka tapauksessa, kun AEAD on käytössä.受影响的产品
Dell EMC Unity Family文章属性
文章编号: 000220538
文章类型: How To
上次修改时间: 28 5月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。