Dell Unity: Як відключити MAC-алгоритми та шифри для серверів NAS з підтримкою SFTP

摘要: Як вимкнути менш безпечні алгоритми та шифри MAC для серверів NAS із підтримкою SFTP. (Виправляється користувачем)

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

Unity надає параметри для налаштування алгоритмів і шифрів MAC, що надаються екземпляром SSHD, що працює на серверах NAS з підтримкою SFTP. Можливо, краще вимкнути менш безпечні шифри, визначені програмним забезпеченням для сканування безпеки.

Так як немає sshd_config файл, який можна редагувати для сервера NAS з підтримкою SFTP, Unity надає два параметри як заміну стандартної функціональності. Щоб побачити інформацію про ці параметри та їх поточні налаштування, виконайте такі команди:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Ці параметри надають таку ж функціональність, як і редагування cipher і macs цінностей у sshd_config на стандартному хості Linux або UNIX, що працює на стандартній реалізації сервера OpenSSH. Форматування, розділене комами, яке використовується для тих значень у файлі налаштувань, також може використовуватися у значеннях, що надаються командам, які використовуються для встановлення цих параметрів.

Щоб побачити список алгоритмів MAC, які можна використовувати з параметром, виконайте наступну команду з хоста:
 

ПРИМІТКА.
  • "ivan2" є типовим користувачем, але можна використовувати будь-якого бажаного користувача.
  • "5.6.7.14" – це приклад IP-адреси сервера NAS із підтримкою SFTP. 
  • Ця команда ініціює з'єднання SSH. Використовуйте послідовність клавіш ctrl+c, щоб розірвати з'єднання, коли з'явиться запит на введення пароля, або дайте відповідь «ні», якщо надійде запит «Ви впевнені, що хочете продовжити підключення?».
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Будь-який з шифрів, перелічених у другому рядку, повинен бути допустимими входами для зміни параметрів шифру. Будь-який з алгоритмів, перелічених у четвертому рядку, повинен бути допустимими входами для зміни параметрів MAC.

У цьому прикладі параметр встановлено таким чином, щоб дозволити лише hmac-sha2-512-etm@openssh.com Алгоритм роботи MAC: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

ПРИМІТКА. Щоб дозволити кілька алгоритмів MAC, використовуйте список, відокремлений комами.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
ОБЕРЕЖНІСТЬ: Система може дозволити вам вказувати невірні алгоритми MAC, блокуючи доступ усіх користувачів до SFTP-сервера. Подбайте про те, щоб вказати правильний алгоритм.

Параметри повинні бути встановлені глобально і можуть вимагати перезавантаження сервера SP або NAS для повного вступу в силу. Щоб перевірити, що це працює, запустіть команду SFTP, яка вказує алгоритм MAC, який був вимкнений, разом із шифром без AEAD, наприклад, як показано нижче: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
У наведеному вище виводі SFTP-сервер відмовляється від з'єднання, оскільки алгоритм HMAC hmac-sha1 вимкнено, і клієнт не використовує AEAD замість MAC для забезпечення цілісності. Без примусового використання не-AEAD MAC це може бути успішним навіть при примусовому використанні вимкненого MAC, оскільки клієнт все одно може ігнорувати налаштування MAC, коли використовується AEAD.

受影响的产品

Dell EMC Unity Family
文章属性
文章编号: 000220538
文章类型: How To
上次修改时间: 28 5月 2025
版本:  4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。