跳转到主内容

什么是 high _security.enable in 7- 模式?

Views:
10
Visibility:
Public
Votes:
0
Category:
data-ontap-8
Specialty:
core
Last Updated:

适用于

Data ONTAP 8.2.5 7-模式

解答

在 Data ONTAP 8.2.5 7- 模式中,添加了一个名为high_security.enable的新选项。此选项可为您启用或禁用高安全性设置。如果选择了“高安全性”、则只有强加密算法才允许控制平面通信。默认情况下, high _security 为 off 且未启用。
7- 模式 8.2.5 发行说明

high_security.enable何时设置为 Off (关)(默认):

  • SSH :将协商所有协议(传统协议和更强协议)—这是通过 W.R. T 与 KEX 、密码和 MAC 进行协商。但是,如果用户从未启用 SSH1 ,则不应启用 SSH1
  • SSL : SSLV2 和 SSLv3 都应该可行并协商所有协议
  • TLS :应协商所有版本 TLSv1.0 、 TLSv1.1 和 TLSv1.2
  • 安全 LDAP :应可用于所有安全协议 - SSLv2 、 SSLv3 、 TLSv1.0 、 TLSv1.1 和 TLSv1.2 (应遵循 SSL/TLS 选项的设置)
high_security.enable何时设置为开:
  • SSH :将停止通告较弱的密码、 KEX 和 MAC 算法—这些 MAC 不会被公布:所有 HMAC-MD5 系列、 HMAC-Ripemd 系列、 UMAC 系列和 KEX : Diffie - Hellman - Group 1-SHA1 、 Curve 25519
  • SSL:SSL.v2. 启用和 SSL.v3 。启用将被禁用 
  • TLS : TLS.v1.1 和 TLSv1.2 将启用并仅在内部协商 TLSv1.1 和 TLSv1.2 
  • 安全 LDAP :应根据 TLS 设置的值进行协商(tls.v1_1.enable/tls.v1_2.enable)   
如何启用

为了启用高安全性选项、所有 vFiler 必须使用安全管理设置生成所需的 ECDSA 和 ED25519 密钥。如果任何 vFiler 没有所需的 SSH 密钥、则无法启用高安全选项。

如果需要更强的 SSH 密钥,请考虑以下事项:
  • 当提示输入密钥大小时、请输入数字、即使默认值显示所需的密钥大小、也不要接受括号中的默认值
    • 对于 SSH1 协议、密钥大小必须介于 1024 和 16384 位之间
    • 对于 SSH2 协议、 RSA 密钥大小必须介于 1024 和 16384 位之间
  • DSA 有效密钥大小为 1024 位
  • ECDSA 的有效密钥大小为 256 、 384 和 521 位
  • ED25519 密钥大小必须介于 256 和 16384 位之间
  1. 启用
>options high_security.enable on

2. 按照提示

查看文档:设置和启动 SSH 服务

其他信息

附加信息 _text