什么是 high _security.enable in 7- 模式?
适用场景
Data ONTAP 8.2.5 7-模式
问题解答
在 Data ONTAP 8.2.5 7- 模式中,添加了一个名为high_security.enable的新选项。此选项可为您启用或禁用高安全性设置。如果选择了“高安全性”、则只有强加密算法才允许控制平面通信。默认情况下, high _security 为 off 且未启用。
7- 模式 8.2.5 发行说明、
high_security.enable何时设置为 Off (关)(默认):
- SSH :将协商所有协议(传统协议和更强协议)—这是通过 W.R. T 与 KEX 、密码和 MAC 进行协商。但是,如果用户从未启用 SSH1 ,则不应启用 SSH1
- SSL : SSLV2 和 SSLv3 都应该可行并协商所有协议
- TLS :应协商所有版本 TLSv1.0 、 TLSv1.1 和 TLSv1.2
- 安全 LDAP :应可用于所有安全协议 - SSLv2 、 SSLv3 、 TLSv1.0 、 TLSv1.1 和 TLSv1.2 (应遵循 SSL/TLS 选项的设置)
high_security.enable何时设置为开:- SSH :将停止通告较弱的密码、 KEX 和 MAC 算法—这些 MAC 不会被公布:所有 HMAC-MD5 系列、 HMAC-Ripemd 系列、 UMAC 系列和 KEX : Diffie - Hellman - Group 1-SHA1 、 Curve 25519
- SSL:SSL.v2. 启用和 SSL.v3 。启用将被禁用
- TLS : TLS.v1.1 和 TLSv1.2 将启用并仅在内部协商 TLSv1.1 和 TLSv1.2
- 安全 LDAP :应根据 TLS 设置的值进行协商(
tls.v1_1.enable/tls.v1_2.enable)
为了启用高安全性选项、所有 vFiler 必须使用安全管理设置生成所需的 ECDSA 和 ED25519 密钥。如果任何 vFiler 没有所需的 SSH 密钥、则无法启用高安全选项。
如果需要更强的 SSH 密钥,请考虑以下事项:
- 当提示输入密钥大小时、请输入数字、即使默认值显示所需的密钥大小、也不要接受括号中的默认值
- 对于 SSH1 协议、密钥大小必须介于 1024 和 16384 位之间
- 对于 SSH2 协议、 RSA 密钥大小必须介于 1024 和 16384 位之间
- DSA 有效密钥大小为 1024 位
- ECDSA 的有效密钥大小为 256 、 384 和 521 位
- ED25519 密钥大小必须介于 256 和 16384 位之间
- 启用
> options high_security.enable on
- 请按照提示操作。
追加信息
请注意、任何功能、设置或版本7-模式都不会通过采用TLS 1.2安全性的HTTPS传输发送AutoSupport 消息。