Dell Unity: Jak wyłączyć algorytmy i szyfry MAC dla serwerów NAS z obsługą SFTP

摘要: Wyłączanie mniej bezpiecznych algorytmów i szyfrów MAC dla serwerów NAS z obsługą SFTP. (możliwość korekty z poziomu użytkownika)

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

Unity udostępnia parametry umożliwiające dostosowanie algorytmów i szyfrów MAC dostarczanych przez instancję SSHD działającą na serwerach NAS z obsługą SFTP. Lepszym rozwiązaniem może być wyłączenie mniej bezpiecznych szyfrów identyfikowanych przez oprogramowanie do skanowania zabezpieczeń.

Ponieważ nie ma sshd_config plik, który może być edytowany dla serwera NAS z obsługą SFTP, Unity udostępnia dwa parametry jako zamiennik standardowej funkcjonalności. Aby wyświetlić informacje o tych parametrach i ich bieżących ustawieniach, uruchom następujące polecenia:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Parametry te zapewniają taką samą funkcjonalność jak edycja cipher i macs Wartości w sshd_config na standardowym hoście z systemem Linux lub UNIX z uruchomioną standardową implementacją serwera OpenSSH. Formatowanie rozdzielane przecinkami używane dla tych wartości w tym pliku konfiguracyjnym może być również używane w wartościach podanych w poleceniach używanych do ustawiania tych parametrów.

Aby wyświetlić listę algorytmów MAC, których można używać z parametrem, uruchom następujące polecenie z hosta:
 

UWAGA:
  • "ivan2" jest użytkownikiem domyślnym, ale można użyć dowolnego preferowanego użytkownika.
  • "5.6.7.14" to przykładowy adres IP serwera NAS z obsługą SFTP. 
  • To polecenie inicjuje połączenie SSH. Użyj kombinacji ctrl+c, aby rozłączyć się po wyświetleniu monitu o podanie hasła, lub odpowiedz "nie", jeśli pojawi się monit "Czy na pewno chcesz kontynuować łączenie?".
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Każdy z szyfrów wymienionych w drugim wierszu powinien być prawidłowymi danymi wejściowymi dla zmiany parametru szyfru. Każdy z algorytmów wymienionych w czwartym wierszu powinien być prawidłowymi danymi wejściowymi dla zmiany parametru MAC.

W tym przykładzie parametr jest ustawiony tak, aby zezwalał tylko na hmac-sha2-512-etm@openssh.com Algorytm MAC: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

UWAGA: Aby zezwolić na wiele algorytmów MAC, użyj listy rozdzielonej przecinkami.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
PRZESTROGA: System może pozwolić na określenie nieprawidłowych algorytmów MAC, blokując wszystkim użytkownikom dostęp do serwera SFTP. Zadbaj o określenie poprawnego algorytmu.

Parametry muszą być ustawione globalnie i mogą wymagać ponownego uruchomienia serwera SP lub NAS, aby odnieść skutek. Aby sprawdzić, czy to działa, uruchom polecenie SFTP określające algorytm MAC, który został wyłączony, wraz z szyfrem innym niż AEAD, takim jak pokazano poniżej: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
W powyższych danych wyjściowych serwer SFTP odrzuca połączenie, ponieważ algorytm HMAC hmac-sha1 jest wyłączony, a klient nie używa AEAD zamiast MAC w celu zapewnienia integralności. Bez wymuszania adresu MAC innego niż AEAD może się to udać nawet w przypadku wymuszenia wyłączonego adresu MAC, ponieważ klient i tak może zignorować ustawienie MAC, gdy usługa AEAD jest w użyciu.

受影响的产品

Dell EMC Unity Family
文章属性
文章编号: 000220538
文章类型: How To
上次修改时间: 28 5月 2025
版本:  4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。