メインコンテンツまでスキップ

7-Mode での high_security.enable とは何ですか。

Views:
117
Visibility:
Public
Votes:
0
Category:
data-ontap-8
Specialty:
core
Last Updated:

環境

Data ONTAP 8.2.5 7-Mode

回答

Data ONTAP 8.2.5 7-Mode では、新しいオプションが追加high_security.enableされました。このオプションは、高セキュリティ設定を有効または無効にします。高セキュリティを選択した場合、コントロールプレーン通信には強力な暗号化アルゴリズムのみが許可されます。デフォルトでは、 high_security はオフになっており、有効になっていません。
7-Mode 8.2.5 リリースノート

high_security.enableがオフに設定されている場合(デフォルト):

  • SSH :すべてのプロトコル(レガシーおよびより強力)をネゴシエートします。これは、 KEX 、暗号、および MAC に適用されます。ただし、ユーザが SSH1 をイネーブルにしていない場合は、イネーブルにしないでください
  • SSL : SSLv2 と SSLv3 の両方が可能で、すべてのプロトコルをネゴシエートする必要があります
  • TLS :すべてのバージョンの TLSv1.0 、 TLSv1.1 、および TLSv1.2 をネゴシエートする必要があります
  • Secure LDAP : SSLv2 、 SSLv3 、 TLSv1.0 、 TLSv1.1 、 TLSv1.2 のすべてのセキュリティプロトコルで可能である必要があります( SSL/TLS オプションの設定に従う必要があります)。
high_security.enableがオンに設定されている場合:
  • SSH :弱い暗号、 KEX 、および MAC アルゴリズムのアドバタイズを停止します。これらの MAC はアドバタイズされません。すべての HMAC-MD5 シリーズ、 HMAC-Ripmde シリーズ、 UMAC シリーズ、 KEX :ディフィーヘルマングループ 1 - SHA1 、曲線 25519
  • SSL : ssl.v2.enable と ssl.v3.enable は無効になります 
  • TLS:TLS.v1.1 および TLSv1.2 は有効になり、 TLSv1.1 、 TLSv1.2 のみを内部的にネゴシエートします 
  • Secure LDAP : TLS 設定の値に従ってネゴシエートする必要がある(tls.v1_1.enable/tls.v1_2.enable)   
有効にする方法

高セキュリティオプションを有効にするには、すべての vFiler に、セキュア管理セットアップを使用して生成された必要な ECDSA キーと ED25519 キーが必要です。vFiler のいずれかに必要な SSH キーがない場合は、高セキュリティ・オプションを有効にできません。

より強力な SSH キーが必要な場合は、次の点を考慮してください。
  • キーサイズの入力を求められたら、デフォルトで必要なキーサイズが表示されている場合でも、数字を入力します。デフォルトのキーサイズが角カッコで囲まれている場合は、そのまま使用しないでください
    • SSH1 プロトコルの場合、キーサイズは 1024 ~ 16384 ビットにする必要があります
    • SSH2 プロトコルの場合、 RSA キーサイズは 1024 ~ 16384 ビットである必要があります
  • DSA の有効なキーサイズは 1024 ビットです
  • ECDSA の有効なキーサイズは、 256 、 384 、および 521 ビットです
  • ED25519 キーサイズは 256 ~ 16384 ビットの範囲で指定する必要があります
  1. 有効にする

> options high_security.enable on を選択します

  1. プロンプトの指示に従います。
ドキュメント『Setting Up and Starting SSH service 』を参照してください

追加情報

7-Modeでは、どの機能、設定、またはバージョンも、TLS 1.2セキュリティを使用したHTTPS転送経由でAutoSupport メッセージを送信しません。

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.