Dell Unity: Nessus Full Safe Güvenlik Açığı Güvenlik Taraması TLS Sürüm 1.0 Protokol Algılama (Kullanıcı Tarafından Düzeltilebilir)
摘要: Bu makalede, TLS 1.0 ve 1.1'in 443 ve 5085 numaralı bağlantı noktalarında nasıl devre dışı bırakılacağı açıklanmaktadır.
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
Dell Unity000022527
daha önce takip edilen makale: Unity Dizisinde TLS 1.0 ve 1.1'i Devre Dışı Bırakma (Kullanıcı Tarafından Düzeltilebilir). Ancak güvenlik açığı tarayıcısı (Nessus), 5085 numaralı bağlantı noktasında bir TLS güvenlik açığı tespit etti.
Tespit edilen güvenlik açıkları:https://www.tenable.com/plugins/nessus/104743
Eklenti:
104743 Plugin name: TLS Sürüm 1.0 Protokol Algılama
Bağlantı Noktası: 5085
Plugin Output: TLSv1 etkindir ve sunucu en az bir şifreyi desteklemektedir.
Özet: Uzak hizmet, TLS'nin eski bir sürümünü kullanarak trafiği şifreler.
Çözüm: TLS 1.2 ve 1.3 desteğini etkinleştirin ve TLS 1.0 desteğini devre dışı bırakın.
daha önce takip edilen makale: Unity Dizisinde TLS 1.0 ve 1.1'i Devre Dışı Bırakma (Kullanıcı Tarafından Düzeltilebilir). Ancak güvenlik açığı tarayıcısı (Nessus), 5085 numaralı bağlantı noktasında bir TLS güvenlik açığı tespit etti.
Tespit edilen güvenlik açıkları:https://www.tenable.com/plugins/nessus/104743
Eklenti:
104743 Plugin name: TLS Sürüm 1.0 Protokol Algılama
Bağlantı Noktası: 5085
Plugin Output: TLSv1 etkindir ve sunucu en az bir şifreyi desteklemektedir.
Özet: Uzak hizmet, TLS'nin eski bir sürümünü kullanarak trafiği şifreler.
Çözüm: TLS 1.2 ve 1.3 desteğini etkinleştirin ve TLS 1.0 desteğini devre dışı bırakın.
原因
uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2" komutu yalnızca 443 numaralı bağlantı noktasını devre dışı bırakır.
5085 numaralı bağlantı noktasını devre dışı bırakmak istiyorsanız svc_nas komutunda "-param" seçeneğini kullanmalısınız.
5085 numaralı bağlantı noktasını devre dışı bırakmak istiyorsanız svc_nas komutunda "-param" seçeneğini kullanmalısınız.
解决方案
Aşağıdaki adımları kullanarak TLS 1.0 ve 1.1'i (Bağlantı Noktası 5085) devre dışı bırakın:
1. Mevcut ayarları kontrol edin.
svc_nas ALL -param -facility ssl -info protocol -v
2. Değeri "4" = TLSv1.2 ve üzeri" olarak değiştirin.
svc_nas ALL -param -facility ssl -modify protocol -value 4
3. current_value "4" =TLSv1.2 ve üzeri olarak değiştirildiğini onaylayın.
svc_nas ALL -param -facility ssl -info protocol -v
4. Depolama İşlemcilerini teker teker yeniden başlatın.
UI(Unisphere):
SYSTEM >>>Servis>>> Hizmeti Görevleri >>> (Depolama İşlemcisi X) Reboot öğesini seçin ve Execute öğesine tıklayın.
CLI:
svc_shutdown --reboot [spa | spb]
5. current_value "4"=TLSv1.2 ve üzeri olarak değiştirildiğini onaylayın.
Example of changing from TLSv1.0 to TLSv1.2 (Port 5085): 1. Check the current settings. XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v name = protocol facility_name = ssl default_value = 2 <<< current_value = 2 <<< configured_value = <<< param_type = global user_action = reboot SP change_effective = reboot SP range = (0,4) description = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above 2. Change the value to "4" = TLSv1.2 and above". XXXXX spa:~/user# svc_nas ALL -param -facility ssl -modify protocol -value 4 SPA : done Warning 17716815750: SPA : You must reboot the SP for protocol changes to take effect. SPB : done Warning 17716815750: SPB : You must reboot the SP for protocol changes to take effect. 3. Confirm that the configured_value has been changed to "4"=TLSv1.2 and above. XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v SPA : name = protocol facility_name = ssl default_value = 2 current_value = 2 <<<< current_value is changed after restart configured_value = 4 <<<< param_type = global user_action = reboot SP change_effective = reboot SP range = (0,4) description = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above 4. Reboot Storage Processor (both SPs alternately). 5. Confirm that the current_value has been changed to "4"=TLSv1.2 and above. XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v SPA : name = protocol facility_name = ssl default_value = 2 current_value = 4 <<<< configured_value = 4 param_type = global user_action = reboot SP change_effective = reboot SP range = (0,4) description = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and aboveTLS 1.0 ve 1.1'i (bağlantı noktası 443) devre dışı bırakın.
000022527. maddeden alıntı.
● Unity OE 5.1 ve sonraki dizilerde aşağıdaki komutu kullanın:
Şu komutla geçerli ayarları gösterin:
uemcli -u admin -password <Your Password> /sys/security show-tlsMode TLSv1.2 ayarını yaparak TLS 1.0 ve 1.1'i devre dışı bırakın:
uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2
TLSv1.0'dan TLSv1.2'ye (Port443) değiştirme örneği:
XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS mode = TLSv1.0 and above
Restricted shell mode = enabled
XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.
XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS mode = TLSv1.2 and above <<<
Restricted shell mode = enabled
Dizinin OE 4.3 ila 5.0 arasında çalışması durumunda, aşağıdaki komutu kullanarak TLS 1.0'ı (Bağlantı Noktası 443) devre dışı bırakın:
Şu komutla geçerli ayarları gösterin:
uemcli -u admin -password <Your Password> /sys/security show -detailTLS 1.0'ı şu komutla devre dışı bırakın:
uemcli -u admin -password <Your Password> /sys/security set -tls1Enabled noTLS 1.2'yi şu komutla etkinleştirin:
uemcli -u admin -password <Your Password> /sys/security -tlsMode TLSv1.2
TLSv1.0'dan TLSv1.2'ye (Bağlantı noktası 443) geçiş örneği:
XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS 1.0 mode = enabled
TLS mode = TLSv1.0 and above
Restricted shell mode = enabled
XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.
XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS 1.0 mode = disabled <<<
TLS mode = TLSv1.2 and above <<<
Restricted shell mode = enabled Not: Aşağıdaki "Hata kodu:
Ayarları değiştirdikten hemen sonra 0x1000302" görüntülenebilir.
Bir hata oluşursa yaklaşık 5 dakika sonra komutu tekrar yürütmeyi deneyin.
Operation failed. Error code: 0x1000302 Remote server is not available. Please contact server support (Error Code:0x1000302)
受影响的产品
Dell EMC Unity, Dell EMC Unity Family |Dell EMC Unity All Flash文章属性
文章编号: 000221891
文章类型: Solution
上次修改时间: 20 2月 2024
版本: 1
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。