Dell Unity: SFTP 지원 NAS 서버의 MAC 알고리듬 및 암호를 비활성화하는 방법
摘要: SFTP 지원 NAS 서버에 대해 보안 수준이 낮은 MAC 알고리듬 및 암호를 비활성화하는 방법 (사용자 수정 가능)
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
Unity는 SFTP 지원 NAS 서버에서 실행되는 SSHD 인스턴스에서 제공하는 MAC 알고리듬 및 암호를 커스터마이즈하는 매개변수를 제공합니다. 보안 검사 소프트웨어로 식별되는 덜 안전한 암호를 비활성화하는 것이 좋습니다.
없기 때문에 sshd_config 편집할 수 있는 SFTP 지원 NAS 서버의 경우 Unity는 표준 기능을 대체하는 두 개의 매개변수를 제공합니다. 이러한 매개변수와 해당 현재 설정에 대한 정보를 보려면 다음 명령을 실행합니다.
svc_nas ALL -param -f sshd -i cipher svc_nas ALL -param -f sshd -i mac
이러한 매개변수는 편집과 동일한 기능을 제공합니다. cipher 및 macs 의 값 sshd_config 표준 OpenSSH 서버 구현을 실행하는 표준 Linux 또는 UNIX 호스트에서. 해당 구성 파일의 해당 값에 사용되는 쉼표로 구분된 형식은 이러한 매개변수를 설정하는 데 사용되는 명령에 제공되는 값에도 사용할 수 있습니다.
매개변수와 함께 사용할 수 있는 MAC 알고리즘 목록을 보려면 호스트에서 다음 명령을 실행합니다.
참고:
- "ivan2"가 기본 사용자이지만 원하는 사용자가 사용할 수 있습니다.
- "5.6.7.14"는 SFTP 지원 NAS 서버의 IP 주소 예입니다.
- 이 명령은 SSH 연결을 시작합니다. ctrl+c 키 시퀀스를 사용하여 암호를 묻는 메시지가 표시되면 연결을 끊거나 "연결을 계속하시겠습니까?"라는 메시지가 표시되면 "no"로 응답합니다.
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher" debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512 debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512 debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1 debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1 debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none두 번째 줄에 나열된 암호는 암호 매개변수 변경에 유효한 입력이어야 합니다. 네 번째 줄에 나열된 알고리즘은 MAC 매개 변수 변경에 유효한 입력이어야 합니다.
이 예제에서 매개변수는
hmac-sha2-512-etm@openssh.com MAC 알고리즘:
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com
참고: 여러 MAC 알고리즘을 허용하려면 쉼표로 구분된 목록을 사용합니다.
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
주의: 시스템에서 잘못된 MAC 알고리즘을 지정하여 모든 사용자를 SFTP 서버에서 잠글 수 있습니다. 올바른 알고리즘을 지정하도록 주의하십시오.
매개변수는 전역적으로 설정해야 하며 완전히 적용하려면 SP 또는 NAS 서버를 재부팅해야 할 수 있습니다. 이것이 작동하는지 확인하려면 아래와 같이 비 AEAD 암호와 함께 비활성화된 MAC 알고리즘을 지정하는 SFTP 명령을 실행합니다.
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14 Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com Connection closed. Connection closed위 출력에서 SFTP 서버는 HMAC 알고리즘 이후 연결을 거부합니다.
hmac-sha1 가 비활성화되고 클라이언트가 무결성을 제공하기 위해 MAC 대신 AEAD를 사용하지 않습니다. AEAD가 아닌 MAC을 강제하지 않으면 AEAD가 사용 중일 때 클라이언트가 MAC 설정을 무시할 수 있으므로 비활성화된 MAC을 강제하는 경우에도 성공할 수 있습니다.受影响的产品
Dell EMC Unity Family文章属性
文章编号: 000220538
文章类型: How To
上次修改时间: 28 5月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。