Dell Unity: Come disabilitare gli algoritmi e le crittografie MAC per i server NAS abilitati per SFTP

摘要: Come disabilitare gli algoritmi e le crittografie MAC meno sicuri per i server NAS abilitati per SFTP. (correggibile dall'utente) (in inglese)

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

Unity fornisce parametri per personalizzare gli algoritmi MAC e le crittografie fornite dall'istanza SSHD in esecuzione su server NAS abilitati per SFTP. Potrebbe essere preferibile disabilitare le crittografie meno sicure identificate dal software di scansione per sicurezza.

Dal momento che non c'è sshd_config che è possibile modificare per il server NAS abilitato per SFTP, Unity fornisce due parametri in sostituzione della funzionalità standard. Per visualizzare informazioni su questi parametri e sulle relative impostazioni correnti, eseguire questi comandi:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Questi parametri forniscono le stesse funzionalità della modifica del cipher e macs valori in sshd_config su un host Linux o UNIX standard che esegue un'implementazione server OpenSSH standard. La formattazione delimitata da virgole utilizzata per tali valori nel file di configurazione può essere utilizzata anche nei valori forniti ai comandi utilizzati per impostare questi parametri.

Per visualizzare un elenco degli algoritmi MAC che possono essere utilizzati con il parametro, eseguire il seguente comando da un host:
 

NOTA:
  • "Ivan2" è un utente predefinito, ma è possibile utilizzare qualsiasi utente preferito.
  • "5.6.7.14" è un esempio di indirizzo IP del server NAS abilitato per SFTP. 
  • Questo comando avvia una connessione SSH. Utilizzare una sequenza di tasti ctrl+c per disconnettersi quando viene richiesta una password o rispondere con "no" se viene ricevuto il messaggio "Are you still you want to keep connecting?".
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Una qualsiasi delle crittografie elencate nella seconda riga deve essere un input valido per la modifica del parametro di crittografia. Uno qualsiasi degli algoritmi elencati nella quarta riga deve essere un input valido per la modifica del parametro MAC.

In questo esempio, il parametro è impostato in modo da consentire solo il hmac-sha2-512-etm@openssh.com Algoritmo MAC: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

NOTA: Per consentire più algoritmi MAC, utilizzare un elenco separato da virgole.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
ATTENZIONE: Il sistema può consentire di specificare algoritmi MAC non validi, impedendo a tutti gli utenti di accedere al server SFTP. Assicurarsi di specificare un algoritmo corretto.

I parametri devono essere impostati a livello globale e possono richiedere un riavvio del server SP o NAS per avere effetto completo. Per verificarne il funzionamento, eseguire un comando SFTP specificando un algoritmo MAC disabilitato, insieme a una crittografia non AEAD, come illustrato di seguito: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
Nell'output precedente, il server SFTP rifiuta la connessione poiché l'algoritmo HMAC hmac-sha1 è disabilitato e il client non utilizza AEAD al posto di MAC per garantire l'integrità. Senza forzare il MAC non AEAD, questa operazione potrebbe comunque avere esito positivo anche quando si forza un MAC disabilitato, poiché il client potrebbe comunque ignorare l'impostazione MAC quando AEAD è in uso.

受影响的产品

Dell EMC Unity Family
文章属性
文章编号: 000220538
文章类型: How To
上次修改时间: 28 5月 2025
版本:  4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。