Avamar: Data Domain 통합: SSH Cipher Suite 호환성
Summary: Avamar 및 Data Domain 통합: Data Domain이 지원하는 SSH 서버 암호 그룹을 변경하면 SSH 암호 그룹 호환성 문제가 발생할 수 있습니다.
Symptoms
암호 그룹은 Data Domain(DD 또는 DDR)에서 변경되거나 업그레이드됩니다. Avamar는 더 이상 비밀번호 없는 인증을 사용하여 Data Domain에 로그인할 수 없습니다.
Avamar는 세션 보안 기능이 활성화된 경우 인증서를 교환하기 위해 Data Domain의 공개 키를 사용하여 Data Domain에 로그인합니다.
또한 DDR 키는 AUI(Avamar Web User Interface) 및 Java UI에서 Data Domain을 업데이트하는 데에도 사용됩니다.
Data Domain SSH 암호 그룹 및 hmac를 변경하는 방법을 설명하는 문서가 있습니다. DDOS에서 SSH 서버에 대해 지원되는 암호화 및 해싱 알고리듬을 조정하는 방법
증상으로 인해 Avamar UI에서 다음 오류가 발생할 수 있습니다.
Failed to import host or ca automatically
이렇게 하면 SSH 연결을 통해 Avamar와 Data Domain 간에 인증서를 교환할 수 없습니다.
Cause
다음 문서의 내용: DDOS에서 SSH 서버에 대해 지원되는 암호 및 해시 알고리즘을 조정하는 방법 (증상 섹션):
DD SSH 서버에서 암호 그룹이 변경됩니다.
ddboost@datadomain# adminaccess ssh option show
Option Value
--------------- ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout default (infinite)
server-port default (22)
ciphers aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
ddboost@datadomain# adminaccess ssh option show
Option Value
--------------- ---------------------------------------------------------------------------------------
session-timeout default (infinite)
server-port default (22)
ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
이 변경으로 인해 Avamar에서 Data Domain으로 DDR 공개 키를 사용하여 SSH를 수행하는 기능이 중단됩니다.
이는 Avamar SSH 클라이언트가 더 이상 Data Domain SSH 서버와 암호 그룹을 공유하지 않기 때문입니다.
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.company.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.comResolution
Data Domain에서 SSH 암호 그룹을 업데이트한 후에는 Avamar SSH 클라이언트 측의 암호 그룹을 일치하도록 업데이트해야 합니다.
1. 현재 Avamar SSH 클라이언트 암호 그룹을 나열합니다.
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
2. 편집 ssh_config 파일에 식별되어 있습니다.
root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
3. 새 암호를 포함하도록 암호 목록이 있는 파일의 마지막 줄을 변경합니다 chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
4. 파일의 마지막 줄을 편집하면 다음과 같이 표시됩니다.
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
5. DDR 공개 키를 사용하여 SSH 암호 그룹 호환성을 테스트하여 공개 키 인증으로 Data Domain에 로그인합니다.
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.compnay.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
** to display outstanding alert(s).
**