Dell Unity: Hoe MAC-algoritmen en -cijfers uit te schakelen voor NAS-servers met SFTP

摘要: Minder veilige MAC-algoritmen en -cijfers uitschakelen voor NAS-servers met SFTP. (Op te lossen door gebruiker)

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

Unity biedt parameters om de MAC-algoritmen en cijfers aan te passen die worden geleverd door de SSHD-instantie die wordt uitgevoerd op NAS-servers met SFTP. Het kan de voorkeur hebben om minder veilige cijfers uit te schakelen die zijn geïdentificeerd door beveiligingsscansoftware.

Aangezien er geen sshd_config bestand dat kan worden bewerkt voor de SFTP-ingeschakelde NAS-server, biedt Unity twee parameters ter vervanging van de standaardfunctionaliteit. Voer deze opdrachten uit om informatie over deze parameters en hun huidige instellingen weer te geven:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Deze parameters bieden dezelfde functionaliteit als het bewerken van de cipher als macs Waarden in sshd_config op een standaard Linux- of UNIX-host waarop een standaard OpenSSH-serverimplementatie wordt uitgevoerd. De door komma's gescheiden opmaak die voor deze waarden in dat configuratiebestand wordt gebruikt, kan ook worden gebruikt in de waarden die worden opgegeven aan de opdrachten die worden gebruikt om deze parameters in te stellen.

Als u een lijst wilt zien van de MAC-algoritmen die met de parameter kunnen worden gebruikt, voert u de volgende opdracht uit vanaf een host:
 

OPMERKING:
  • "ivan2" is een standaardgebruiker, maar elke voorkeursgebruiker kan worden gebruikt.
  • "5.6.7.14" is een voorbeeld van een IP-adres van de SFTP-ingeschakelde NAS-server. 
  • Met dit commando wordt een SSH-verbinding tot stand gebracht. Gebruik een ctrl+c-toetsencombinatie om de verbinding te verbreken wanneer u om een wachtwoord wordt gevraagd, of reageer met "nee" als een prompt wordt ontvangen met de tekst "Weet u zeker dat u verbinding wilt blijven maken?".
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Elk van de cijfers die op de tweede regel worden vermeld, moet geldige invoer zijn voor de wijziging van de coderingsparameter. Elk van de algoritmen die op de vierde regel worden vermeld, moet geldige invoer zijn voor de wijziging van de MAC-parameter.

In dit voorbeeld is de parameter zo ingesteld dat alleen de hmac-sha2-512-etm@openssh.com MAC-algoritme: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

OPMERKING: Als u meerdere MAC-algoritmen wilt toestaan, gebruikt u een door komma's gescheiden lijst.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
LET OP: Het systeem kan u toestaan ongeldige MAC-algoritmen op te geven, waardoor alle gebruikers geen toegang hebben tot de SFTP-server. Zorg ervoor dat u een correct algoritme specificeert.

De parameters moeten globaal worden ingesteld en mogelijk moet de SP- of NAS-server opnieuw worden opgestart om volledig van kracht te worden. Om te valideren dat dit werkt, voert u een SFTP-opdracht uit die een MAC-algoritme specificeert dat is uitgeschakeld, samen met een niet-AEAD-codering, zoals hieronder te zien is: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
In de bovenstaande uitvoer weigert de SFTP-server de verbinding omdat het HMAC-algoritme hmac-sha1 is uitgeschakeld en de client gebruikt geen AEAD in plaats van een MAC om integriteit te bieden. Zonder de niet-AEAD MAC te forceren, kan dit nog steeds lukken, zelfs bij het forceren van een uitgeschakelde MAC, omdat de client de MAC-instelling toch kan negeren wanneer AEAD in gebruik is.

受影响的产品

Dell EMC Unity Family
文章属性
文章编号: 000220538
文章类型: How To
上次修改时间: 28 5月 2025
版本:  4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。