Avamar: Data Domain Entegrasyonu: SSH Şifreleme Paketi uyumluluğu

Şifreleme grupları Data Domain'de (DD veya DDR) değiştirilir veya yükseltilir. Avamar artık parolasız kimlik doğrulama kullanarak Data Domain'de oturum açamamaktadır.

Avamar, oturum güvenliği özellikleri etkinleştirildiğinde sertifika alışverişi yapmak için Data Domain'in genel anahtarını kullanarak Data Domain'de oturum açar.

DDR anahtarı, Avamar Web Kullanıcı Arayüzü (AUI) ve Java kullanıcı arayüzündeki Data Domain'i güncellemek için de kullanılır.

Data Domain SSH şifreleme gruplarının ve hmac'lerin nasıl değiştirileceğini açıklayan bir makale vardır: DDOS'ta SSH sunucusu için desteklenen şifreler ve karma algoritmalar nasıl ayarlanır?

Belirtiler Avamar kullanıcı arayüzünde aşağıdaki hataya neden olabilir:

Failed to import host or ca automatically

Bu, SSH bağlantıları üzerinden Avamar ve Data Domain arasında sertifika alışverişini önler.

Aşağıdaki makalenin içeriğinden: DDOS da SSH sunucusu için desteklenen şifreleri ve karma algoritmaları ayarlama (belirtiler bölümü):

Şifreleme grupları DD SSH sunucusunda değiştirilmiştir:

ddboost@datadomain# adminaccess ssh option show 

Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com 

ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"

Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".

ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256" 

Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".

ddboost@datadomain# adminaccess ssh option show 

Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

Bu değişiklik, DDR genel anahtarıyla Avamar'dan Data Domain'e SSH yapma özelliğini bozar.

Bunun nedeni Avamar SSH İstemcisinin artık Data Domain SSH Sunucusu ile bir şifreleme grubunu paylaşmamasıdır:

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.company.com

Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

SSH şifreleme grupları Data Domain'de güncelleştirildikten sonra Avamar SSH istemci tarafındaki şifreleme grupları eşleşme için güncelleştirilmelidir:

1. Geçerli Avamar SSH İstemcisi şifreleme gruplarını listeleyin:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc

2. Şunu düzenleyin: ssh_config :

root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config

3. Yeni şifreleri dahil etmek için dosyanın son satırını Şifreler listesiyle değiştirin chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

4. Dosyanın son satırını düzenledikten sonra, aşağıdaki gibi görünmelidir:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc

5. Ortak anahtar kimlik doğrulaması ile Data Domain'de oturum açmak için DDR genel anahtarını kullanarak SSH şifreleme paketi uyumluluğunu test edin:

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.compnay.com

Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**