Dell Unity: Como desativar algoritmos e cifras MAC para servidores NAS habilitados para SFTP

摘要: Como desativar algoritmos e cifras MAC menos seguros para servidores NAS habilitados para SFTP. (Corrigível pelo usuário)

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

O Unity fornece parâmetros para personalizar os algoritmos MAC e as cifras fornecidas pela instância SSHD em execução em servidores NAS habilitados para SFTP. Talvez seja preferível desativar as cifras menos seguras identificadas pelo software de verificação de segurança.

Uma vez que não há sshd_config arquivo que pode ser editado para o servidor NAS habilitado para SFTP. O Unity fornece dois parâmetros como uma substituição para a funcionalidade padrão. Para ver informações sobre esses parâmetros e suas configurações atuais, execute estes comandos:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Esses parâmetros fornecem a mesma funcionalidade que a edição do cipher e macs valores em sshd_config em um host Linux ou UNIX padrão executando uma implementação de servidor OpenSSH padrão. A formatação delimitada por vírgulas usada para esses valores nesse arquivo de configuração também pode ser usada nos valores fornecidos aos comandos usados para definir esses parâmetros.

Para ver uma lista dos algoritmos MAC que podem ser usados com o parâmetro, execute o seguinte comando de um host:
 

Nota:
  • "ivan2" é um usuário padrão, mas qualquer usuário preferencial pode ser usado.
  • "5.6.7.14" é um exemplo de endereço IP do servidor NAS habilitado para SFTP. 
  • Esse comando inicia uma conexão SSH. Use uma sequência de teclas ctrl+c para se desconectar quando for solicitada uma senha ou responda com "não" se um prompt dizendo "Tem certeza de que deseja continuar a conexão?" for recebido.
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Qualquer uma das cifras listadas na segunda linha deve ser entradas válidas para a alteração do parâmetro da cifra. Qualquer um dos algoritmos listados na quarta linha deve ser entradas válidas para a alteração do parâmetro MAC.

Neste exemplo, o parâmetro é definido para permitir apenas o hmac-sha2-512-etm@openssh.com Algoritmo MAC: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

Nota: Para permitir vários algoritmos MAC, use uma lista separada por vírgulas.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
AVISO: O sistema pode permitir que você especifique algoritmos MAC inválidos, bloqueando todos os usuários fora do servidor SFTP. Especifique um algoritmo correto.

Os parâmetros devem ser definidos globalmente e podem exigir uma reinicialização da SP ou do servidor NAS para ter efeito total. Para validar se isso está funcionando, execute um comando SFTP especificando um algoritmo MAC que foi desativado, juntamente com uma codificação não-AEAD, como visto abaixo: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
Na saída acima, o servidor SFTP recusa a conexão, pois o algoritmo HMAC hmac-sha1 está desativado e o cliente não está usando o AEAD no lugar de um MAC para fornecer integridade. Sem forçar o MAC não-AEAD, isso ainda pode ser bem-sucedido mesmo quando forçar um MAC desativado, já que o cliente pode ignorar a configuração MAC de qualquer maneira quando AEAD está em uso.

受影响的产品

Dell EMC Unity Family
文章属性
文章编号: 000220538
文章类型: How To
上次修改时间: 28 5月 2025
版本:  4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。