メインコンテンツまでスキップ

NetApp_Insight_2020.png 

7-Mode での high_security.enable とは何ですか。

Views:
11
Visibility:
Public
Votes:
0
Category:
data-ontap-8
Specialty:
core
Last Updated:

に適用されます

Data ONTAP 8.2.5 7-Mode

回答

Data ONTAP 8.2.5 7-Mode では、新しいオプションが追加high_security.enableされました。このオプションは、高セキュリティ設定を有効または無効にします。高セキュリティを選択した場合、コントロールプレーン通信には強力な暗号化アルゴリズムのみが許可されます。デフォルトでは、 high_security はオフになっており、有効になっていません。
7-Mode 8.2.5 リリースノート

high_security.enableがオフに設定されている場合(デフォルト):

  • SSH :すべてのプロトコル(レガシーおよびより強力)をネゴシエートします。これは、 KEX 、暗号、および MAC に適用されます。ただし、ユーザが SSH1 をイネーブルにしていない場合は、イネーブルにしないでください
  • SSL : SSLv2 と SSLv3 の両方が可能で、すべてのプロトコルをネゴシエートする必要があります
  • TLS :すべてのバージョンの TLSv1.0 、 TLSv1.1 、および TLSv1.2 をネゴシエートする必要があります
  • Secure LDAP : SSLv2 、 SSLv3 、 TLSv1.0 、 TLSv1.1 、 TLSv1.2 のすべてのセキュリティプロトコルで可能である必要があります( SSL/TLS オプションの設定に従う必要があります)。
high_security.enableがオンに設定されている場合:
  • SSH :弱い暗号、 KEX 、および MAC アルゴリズムのアドバタイズを停止します。これらの MAC はアドバタイズされません。すべての HMAC-MD5 シリーズ、 HMAC-Ripmde シリーズ、 UMAC シリーズ、 KEX :ディフィーヘルマングループ 1 - SHA1 、曲線 25519
  • SSL : ssl.v2.enable と ssl.v3.enable は無効になります 
  • TLS:TLS.v1.1 および TLSv1.2 は有効になり、 TLSv1.1 、 TLSv1.2 のみを内部的にネゴシエートします 
  • Secure LDAP : TLS 設定の値に従ってネゴシエートする必要がある(tls.v1_1.enable/tls.v1_2.enable)   
有効にする方法

高セキュリティオプションを有効にするには、すべての vFiler に、セキュア管理セットアップを使用して生成された必要な ECDSA キーと ED25519 キーが必要です。vFiler のいずれかに必要な SSH キーがない場合は、高セキュリティ・オプションを有効にできません。

より強力な SSH キーが必要な場合は、次の点を考慮してください。
  • キーサイズの入力を求められたら、デフォルトで必要なキーサイズが表示されている場合でも、数字を入力します。デフォルトのキーサイズが角カッコで囲まれている場合は、そのまま使用しないでください
    • SSH1 プロトコルの場合、キーサイズは 1024 ~ 16384 ビットにする必要があります
    • SSH2 プロトコルの場合、 RSA キーサイズは 1024 ~ 16384 ビットである必要があります
  • DSA の有効なキーサイズは 1024 ビットです
  • ECDSA の有効なキーサイズは、 256 、 384 、および 521 ビットです
  • ED25519 キーサイズは 256 ~ 16384 ビットの範囲で指定する必要があります
  1. 有効化
>options high_security.enable on

2. プロンプトに従い

ます。「マニュアル: SSH サービスのセットアップと起動」を参照してください

追加情報

AdditionalInformation_Text

 

 

 

  • この記事は役に立ちましたか?