Dell Unity: Slik deaktiverer du MAC-algoritmer og chiffer for SFTP-aktiverte NAS-servere

摘要: Slik deaktiverer du mindre sikre MAC-algoritmer og chiffer for SFTP-aktiverte NAS-servere. (Kan rettes opp av bruker)

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

Unity gir parametere for å tilpasse MAC-algoritmene og chifferne som leveres av SSHD-forekomsten som kjører på SFTP-aktiverte NAS-servere. Det kan være å foretrekke å deaktivere mindre sikre chiffer identifisert av sikkerhetsskanningsprogramvare.

Siden det ikke er noen sshd_config -fil som kan redigeres for den SFTP-aktiverte NAS-serveren, har Unity to parametere som erstatning for standardfunksjonaliteten. Hvis du vil se informasjon om disse parameterne og gjeldende innstillinger, kjører du disse kommandoene:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Disse parameterne gir samme funksjonalitet som redigering av cipher og macs verdier i sshd_config på en standard Linux- eller UNIX-vert som kjører en standard OpenSSH-serverimplementering. Den kommaseparerte formateringen som brukes for disse verdiene i konfigurasjonsfilen, kan også brukes i verdiene som er gitt til kommandoene som brukes til å angi disse parameterne.

Hvis du vil se en liste over MAC-algoritmene som kan brukes med parameteren, kjører du følgende kommando fra en vert:
 

MERK:
  • "ivan2" er en standardbruker, men alle foretrukne brukere kan brukes.
  • "5.6.7.14" er et eksempel på IP-adressen til den SFTP-aktiverte NAS-serveren. 
  • Denne kommandoen starter en SSH-tilkobling. Bruk en ctrl + c tastesekvens for å koble fra når du blir bedt om et passord, eller svar med "nei" hvis en melding som sier "Er du sikker på at du vil fortsette å koble til?" mottas.
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Alle chifferkodene som er oppført på den andre linjen, bør være gyldige innganger for endringen av chifferparameteren. Noen av algoritmene som er oppført på fjerde linje, bør være gyldige innganger for MAC-parameterendringen.

I dette eksemplet er parameteren satt til å bare tillate hmac-sha2-512-etm@openssh.com MAC-algoritme: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

MERK: Hvis du vil tillate flere MAC-algoritmer, bruker du en kommaseparert liste.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
FORSIKTIG: Systemet kan tillate deg å spesifisere ugyldige MAC-algoritmer, og låse alle brukere ute av SFTP-serveren. Pass på å spesifisere en riktig algoritme.

Parametrene må angis globalt og kan kreve omstart av SP- eller NAS-serveren for å tre i kraft. For å bekrefte at dette fungerer, kjør en SFTP-kommando som spesifiserer en MAC-algoritme som ble deaktivert, sammen med en ikke-AEAD-chiffer som vist nedenfor: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
I ovennevnte utgang nekter SFTP-serveren tilkoblingen siden HMAC-algoritmen hmac-sha1 er deaktivert, og klienten ikke bruker AEAD i stedet for en MAC for å gi integritet. Uten å tvinge ikke-AEAD MAC, kan dette fortsatt lykkes selv når du tvinger en deaktivert MAC, siden klienten kan ignorere MAC-innstillingen uansett når AEAD er i bruk.

受影响的产品

Dell EMC Unity Family
文章属性
文章编号: 000220538
文章类型: How To
上次修改时间: 28 5月 2025
版本:  4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。