管理 SSH 安全配置涉及到管理 SSH 密钥交换算法和数据加密算法(也称为密码)。通过 Data ONTAP,您可以根据 SSH 安全要求为集群或 Storage Virtual Machine (SVM) 启用或禁用各个 SSH 密钥交换算法和密码。
Data ONTAP 允许集群和 SVM 使用以下 SSH 安全配置:
SHA-2 算法比 SHA-1 算法更安全。作为 SSH 服务器,Data ONTAP 可自动选择与客户端匹配的最安全的 SSH 密钥交换算法。要进一步增强 SSH 安全性,您可以手动禁用 SHA-1 算法,而仅启用 SHA-2 算法。
CTR 模式密码比 CBC 模式密码更安全。在密码模式相同的情况下,密钥长度越长,密码越安全。在 Data ONTAP 所支持的密码中,aes256-ctr 最安全,3des-cbc 最不安全。
您可以按以下方式管理集群和 SVM 的 SSH 密钥交换算法和密码:
已启用的 SSH 密钥交换算法会按安全强度从高到低的顺序显示。
已启用的 CTR 模式密码(较安全)会显示在 CBC 模式密码(不太安全)之前。在每种模式类型中,密码会按密钥长度降序显示。
如果您修改了集群的 SSH 密钥交换算法或密码配置,则所有后续创建的 SVM 都会应用此更改。
所添加的 SSH 密钥交换算法或密码将会启用。
如果您将 SSH 密钥交换算法或密码添加到集群配置中,则所有后续创建的 SVM 都会应用此更改。
所删除的 SSH 密钥交换算法或密码将被禁用。
如果您将 SSH 密钥交换算法或密码从集群配置中删除,则所有后续创建的 SVM 都会应用此更改。
Data ONTAP 不允许从集群或 SVM 中删除所有 SSH 密钥交换算法或所有密码。
如果降级或还原到 Data ONTAP 8.2.1 之前的版本,则 Data ONTAP 会提示您运行此命令,以便将集群和所有 SVM 的 SSH 安全配置重置为早期版本的以下默认设置: