跳转到主内容
NetApp Response to Russia-Ukraine Cyber Threat
In response to the recent rise in cyber threat due to the Russian-Ukraine crisis, NetApp is actively monitoring the global security intelligence and updating our cybersecurity measures. We follow U.S. Federal Government guidance and remain on high alert. Customers are encouraged to monitor the Cybersecurity and Infrastructure Security (CISA) website for new information as it develops and remain on high alert.

什么是 high _security.enable in 7- 模式?

Views:
49
Visibility:
Public
Votes:
0
Category:
data-ontap-8
Specialty:
core
Last Updated:

适用场景

Data ONTAP 8.2.5 7-模式

问题解答

在 Data ONTAP 8.2.5 7- 模式中,添加了一个名为high_security.enable的新选项。此选项可为您启用或禁用高安全性设置。如果选择了“高安全性”、则只有强加密算法才允许控制平面通信。默认情况下, high _security 为 off 且未启用。
7- 模式 8.2.5 发行说明

high_security.enable何时设置为 Off (关)(默认):

  • SSH :将协商所有协议(传统协议和更强协议)—这是通过 W.R. T 与 KEX 、密码和 MAC 进行协商。但是,如果用户从未启用 SSH1 ,则不应启用 SSH1
  • SSL : SSLV2 和 SSLv3 都应该可行并协商所有协议
  • TLS :应协商所有版本 TLSv1.0 、 TLSv1.1 和 TLSv1.2
  • 安全 LDAP :应可用于所有安全协议 - SSLv2 、 SSLv3 、 TLSv1.0 、 TLSv1.1 和 TLSv1.2 (应遵循 SSL/TLS 选项的设置)
high_security.enable何时设置为开:
  • SSH :将停止通告较弱的密码、 KEX 和 MAC 算法—这些 MAC 不会被公布:所有 HMAC-MD5 系列、 HMAC-Ripemd 系列、 UMAC 系列和 KEX : Diffie - Hellman - Group 1-SHA1 、 Curve 25519
  • SSL:SSL.v2. 启用和 SSL.v3 。启用将被禁用
  • TLS : TLS.v1.1 和 TLSv1.2 将启用并仅在内部协商 TLSv1.1 和 TLSv1.2
  • 安全 LDAP :应根据 TLS 设置的值进行协商(tls.v1_1.enable/tls.v1_2.enable)   
如何启用

为了启用高安全性选项、所有 vFiler 必须使用安全管理设置生成所需的 ECDSA 和 ED25519 密钥。如果任何 vFiler 没有所需的 SSH 密钥、则无法启用高安全选项。

如果需要更强的 SSH 密钥,请考虑以下事项:
  • 当提示输入密钥大小时、请输入数字、即使默认值显示所需的密钥大小、也不要接受括号中的默认值
    • 对于 SSH1 协议、密钥大小必须介于 1024 和 16384 位之间
    • 对于 SSH2 协议、 RSA 密钥大小必须介于 1024 和 16384 位之间
  • DSA 有效密钥大小为 1024 位
  • ECDSA 的有效密钥大小为 256 、 384 和 521 位
  • ED25519 密钥大小必须介于 256 和 16384 位之间
  1. 启用

> options high_security.enable on

  1. 请按照提示操作。
请查看文档:设置和启动 SSH 服务

追加信息

附加信息 _text

 

Scan to view the article on your device