Dell Unity. Как отключить алгоритмы и шифры MAC для серверов NAS с поддержкой SFTP

摘要: Как отключить менее защищенные алгоритмы и шифры MAC для серверов NAS с поддержкой SFTP. (Исправляется пользователем)

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

Unity предоставляет параметры для настройки алгоритмов MAC и шифров, предоставляемых экземпляром SSHD, работающим на серверах NAS с поддержкой SFTP. Возможно, предпочтительнее отключить менее защищенные шифры, которые определяются программным обеспечением для сканирования безопасности.

Так как нет sshd_config , который можно редактировать для сервера NAS с поддержкой SFTP, Unity предоставляет два параметра в качестве замены стандартной функциональности. Для просмотра информации об этих параметрах и их текущих настройках выполните следующие команды:

svc_nas ALL -param -f sshd -i cipher
svc_nas ALL -param -f sshd -i mac

Эти параметры обеспечивают ту же функциональность, что и редактирование cipher и macs Значения в sshd_config на стандартном хосте Linux или UNIX, на котором запущена стандартная реализация сервера OpenSSH. Разделенные запятыми форматирование, используемое для этих значений в этом файле конфигурации, также может использоваться в значениях, предоставленных командам, используемым для установки этих параметров.

Чтобы просмотреть список алгоритмов MAC, которые можно использовать с этим параметром, выполните следующую команду с хоста:
 

ПРИМЕЧАНИЕ.
  • "ivan2" является пользователем по умолчанию, но может быть использован любой предпочтительный пользователь.
  • «5.6.7.14» — пример IP-адреса сервера сетевой системы хранения данных с поддержкой SFTP. 
  • Эта команда инициирует соединение SSH. Используйте комбинацию клавиш ctrl+c, чтобы разорвать соединение при запросе пароля, или ответьте «нет» при появлении запроса «Вы действительно хотите продолжить подключение?».
# ssh -vvv ivan2@5.6.7.14 2>&1 | grep -E "MAC|cipher"
debug2: ciphers ctos: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: ciphers stoc: aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes256-cbc,aes128-gcm@openssh.com,aes128-ctr,aes128-cbc
debug2: MACs ctos: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: MACs stoc: hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha2-256,hmac-sha1,umac-128@openssh.com,hmac-sha2-512
debug2: ciphers ctos: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: ciphers stoc: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
debug2: MACs ctos: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MACs stoc: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug1: kex: server->client cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: aes256-gcm@openssh.com MAC: <implicit> compression: none
Все шифры, перечисленные во второй строке, должны быть допустимыми входными данными для изменения параметра шифра. Любой из алгоритмов, перечисленных в четвертой строке, должен быть допустимыми входными данными для изменения параметра MAC.

В данном примере параметр имеет значение hmac-sha2-512-etm@openssh.com Алгоритм MAC: 
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com

ПРИМЕЧАНИЕ. Чтобы разрешить несколько алгоритмов MAC, используйте список, разделенный запятыми.
  
svc_nas ALL -param -f sshd -m mac -v hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
 
ВНИМАНИЕ! Система может разрешить указывать недопустимые алгоритмы MAC, что приведет к блокировке доступа всех пользователей к серверу SFTP. Позаботьтесь о том, чтобы указать правильный алгоритм.

Параметры должны быть заданы глобально, и для полного вступления в силу может потребоваться перезагрузка процессора СХД или сервера сетевой системы хранения данных. Чтобы убедиться, что это работает, выполните команду SFTP, указав алгоритм MAC, который был отключен, а также шифр, отличный от AEAD, как показано ниже: 
# sftp -oMACs=hmac-sha1 -oCiphers=aes256-ctr ivan2@5.6.7.14
Unable to negotiate with 5.6.7.14 port 22: no matching MAC found. Their offer: hmac-sha2-512-etm@openssh.com
Connection closed.
Connection closed
В приведенном выше выводе SFTP-сервер отклоняет подключение, так как алгоритм HMAC hmac-sha1 отключено, и клиент не использует AEAD вместо MAC для обеспечения целостности. Без принудительного использования MAC-адреса, не являющегося AEAD, это все равно может быть успешным даже при принудительном использовании отключенного MAC, поскольку клиент может игнорировать настройку MAC в любом случае при использовании AEAD.

受影响的产品

Dell EMC Unity Family
文章属性
文章编号: 000220538
文章类型: How To
上次修改时间: 28 5月 2025
版本:  4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。