Avamar 19.3+: Goav Security Keystore viser og sjekker nøkkellager og låsebokshelse med automatisk reparasjon

Nyeste Avamar-versjon støttes: 19.10
Kommandosett Støttede Avamar-versjoner: 19.3+
Goav-versjon kreves: 1.39+, anbefalt versjon minimum 1.50


Last ned / installer Goav-verktøyet

000192151 | Avamar: Goav-verktøy


Notater

- Ved hver påfølgende utgivelse av Avamar må funksjonen valideres på nytt.
- Alle goav sikkerhetskommandoer må kjøres som root.


Funksjoner

Vis

innhold i nøkkellageretDenne kommandoen gir en rullegardinmenyvalgledetekst for å velge hvilket nøkkellager som skal skrives ut

./goav security keystore show

Denne kommandoen skriver ut alle tastelagre til skjermen.

./goav security keystore show --all

Kontroller konfigurasjon av nøkkellager og låseboks med valgfri automatisk reparasjon

Denne kommandoen utfører flere tilstandskontroller mot alle nøkkellagrene på Avamar-systemet.
- Sjekk at hver nøkkelbutikk finnes.
- Sjekk nøkkellagertillatelser og eierskap.
- Sjekk passordfrasen for låseboksnøkkellageret.
- Sjekk at låseboksen og passordfrasen for nøkkellageret stemmer overens.
- Sjekk at hvert tastelager har riktig format (PKCS12).
- Kontroller at hvert nødvendige alias (sertifikat) er til stede i hvert nøkkellager.
- Skriv ut et bestått/ikke bestått-sammendrag med detaljerte problemmeldinger.

./goav security keystore check-config

 

Denne kommandoen utfører flere tilstandskontroller mot alle nøkkellagre og reparerer dem automatisk.
- Sjekk at hver nøkkelbutikk finnes.
- Sjekk nøkkellagertillatelser og eierskap
- Sjekk passordfrasen for
låseboks nøkkellager.- Sjekk at passordfrasen for låseboks/nøkkellager stemmer overens.
- Sjekk at hvert tastelager har riktig format (PKCS12).
- Kontroller at hvert nødvendige alias (sertifikat) er til stede i hvert nøkkellager.
- Skriv ut et bestått/ikke bestått-sammendrag med detaljerte problemmeldinger.
- Auto regenerere manglende keystores.
- Fiks automatisk tillatelser og eierskap.
- Generer automatisk nøkkellager på nytt hvis passordfrasen for låseboksen ikke samsvarer med passordfrasen for nøkkellageret.
- Sikkerhetskopier eksisterende nøkkellager før regenerering
- Generer automatisk et nøkkellager eller spesifikt alias om nødvendig.
- Oppdater MCSSL privat nøkkeloppføring fra Java RMI keystore for å synkronisere med avi og tomcat keystore.
- Start aktuelle tjenester på nytt

./goav security keystore check-config --fix

Eksempler

Vis et nøkkellager

root@ser-ave03:/home/admin/#: ./goav security keystore show
===========================================================
GoAv    :        1.39
Avamar  :        19.7
Date    :        19 Oct 2022 10:28 MDT
===========================================================
NOTE: This is not an official tool
===========================================================
Use the arrow keys to navigate: ↓ ↑ → ←
Select Keystore to Print:
    RMI_SSL_KEYSTORE
    AVAMAR_KEYSTORE
  → AVINSTALLER_KEYSTORE
    TOMCAT_KEYSTORE

Kontroller nøkkellagerkonfigurasjonen i passiv modus

root@avmr-4400-rtp:/usr/local/avamar/lib/#: ~admin/goav security keystore check-config
===========================================================
GoAv    :        1.49
Avamar  :        19.4
Date    :        17 Mar 2023 13:31 EDT
===========================================================
COMMAND :  /home/admin/goav security keystore check-config
NOTE: This is not an official tool
===========================================================
Table: Keystore Existence/Permissions Check
-------------------------------------------

          Name         |                  Path                  | Exists |  Current Permissions  | Expected Permissions |   Current Ownership   | Expected Ownership
-----------------------+----------------------------------------+--------+-----------------------+----------------------+-----------------------+---------------------
  RMI_SSL_KEYSTORE     | /usr/local/avamar/lib/rmi_ssl_keystore | true   | rw-rw----             | rw-rw----            | root admin            | root admin
  AVAMAR_KEYSTORE      | /usr/local/avamar/lib/avamar_keystore  | true   | rw-rw----             | rw-rw----            | root root             | root admin
  AVINSTALLER_KEYSTORE | /usr/local/avamar/lib/avi/avi_keystore | false  | emtpy: file not found | rw-r--r--            | empty: file not found | avi avi
  TOMCAT_KEYSTORE      | /home/admin/.keystore                  | true   | rwxr-----             | rwxr-----            | admin admin           | admin admin


Task: Lockbox Passphrase Check
------------------------------

Keystore Passphrase (From Lockbox): changeme


Table: Lockbox/Keystore Passphrase Match
----------------------------------------

          Name         |  Lockbox/Keystore Passphrase
                       |             Match
-----------------------+---------------------------------
  RMI_SSL_KEYSTORE     | false
  AVAMAR_KEYSTORE      | true
  AVINSTALLER_KEYSTORE | false
  TOMCAT_KEYSTORE      | true


Keystore Format (JKS/PKCS12)
----------------------------

          Name         | Format
-----------------------+----------
  RMI_SSL_KEYSTORE     | Unknown
  AVAMAR_KEYSTORE      | PKCS12
  AVINSTALLER_KEYSTORE | Unknown
  TOMCAT_KEYSTORE      | PKCS12


Table: Keystore Alias Check
---------------------------

          Name         |                  Path                  |   Alias   | Exists
-----------------------+----------------------------------------+-----------+---------
  RMI_SSL_KEYSTORE     | /usr/local/avamar/lib/rmi_ssl_keystore | mcssl     | false
  RMI_SSL_KEYSTORE     | /usr/local/avamar/lib/rmi_ssl_keystore | mcjwt     | false
  AVAMAR_KEYSTORE      | /usr/local/avamar/lib/avamar_keystore  | mcecroot  | true
  AVAMAR_KEYSTORE      | /usr/local/avamar/lib/avamar_keystore  | mcectls   | true
  AVAMAR_KEYSTORE      | /usr/local/avamar/lib/avamar_keystore  | mcrsaroot | true
  AVAMAR_KEYSTORE      | /usr/local/avamar/lib/avamar_keystore  | mcrsatls  | true
  AVINSTALLER_KEYSTORE | /usr/local/avamar/lib/avi/avi_keystore | tomcat    | false
  AVINSTALLER_KEYSTORE | /usr/local/avamar/lib/avi/avi_keystore | mcssl     | false
  TOMCAT_KEYSTORE      | /home/admin/.keystore                  | tomcat    | false
  TOMCAT_KEYSTORE      | /home/admin/.keystore                  | mcssl     | true


Summary
-------

*** FAIL *** keystore check-config FAILED OVERALL
PROBLEM: AVINSTALLER_KEYSTORE does not exist
PROBLEM: AVAMAR_KEYSTORE ownership/permissions incorrect
PROBLEM: AVINSTALLER_KEYSTORE ownership/permissions incorrect
PROBLEM: changeme is not the correct passphrase for keystore RMI_SSL_KEYSTORE
PROBLEM: changeme is not the correct passphrase for keystore AVINSTALLER_KEYSTORE
PROBLEM: RMI_SSL_KEYSTORE format unknown, keystore might not be readable or passphrase mismatch
PROBLEM: AVINSTALLER_KEYSTORE format unknown, keystore might not be readable or passphrase mismatch
PROBLEM: mcssl alias does not exist in RMI_SSL_KEYSTORE
PROBLEM: mcjwt alias does not exist in RMI_SSL_KEYSTORE
PROBLEM: tomcat alias does not exist in AVINSTALLER_KEYSTORE
PROBLEM: mcssl alias does not exist in AVINSTALLER_KEYSTORE
PROBLEM: tomcat alias does not exist in TOMCAT_KEYSTORE

Kontroller nøkkellagerkonfigurasjonen i aktiv/automatisk fiksemodus

root@avamar-rtp:/usr/local/avamar/lib/#: ~admin/goav security keystore check-config --fix
===========================================================
GoAv    :        1.49
Avamar  :        19.4
Date    :        17 Mar 2023 13:32 EDT
===========================================================
COMMAND :  /home/admin/goav security keystore check-config --fix
NOTE: This is not an official tool
===========================================================
Table: Keystore Existence/Permissions Check
-------------------------------------------

          Name         |                  Path                  | Exists |  Current Permissions  | Expected Permissions |   Current Ownership   | Expected Ownership
-----------------------+----------------------------------------+--------+-----------------------+----------------------+-----------------------+---------------------
  RMI_SSL_KEYSTORE     | /usr/local/avamar/lib/rmi_ssl_keystore | true   | rw-rw----             | rw-rw----            | root admin            | root admin
  AVAMAR_KEYSTORE      | /usr/local/avamar/lib/avamar_keystore  | true   | rw-rw----             | rw-rw----            | root root             | root admin
  AVINSTALLER_KEYSTORE | /usr/local/avamar/lib/avi/avi_keystore | false  | emtpy: file not found | rw-r--r--            | empty: file not found | avi avi
  TOMCAT_KEYSTORE      | /home/admin/.keystore                  | true   | rwxr-----             | rwxr-----            | admin admin           | admin admin


Task: Lockbox Passphrase Check
------------------------------

Keystore Passphrase (From Lockbox): changeme


Table: Lockbox/Keystore Passphrase Match
----------------------------------------

          Name         |  Lockbox/Keystore Passphrase
                       |             Match
-----------------------+---------------------------------
  RMI_SSL_KEYSTORE     | false
  AVAMAR_KEYSTORE      | true
  AVINSTALLER_KEYSTORE | false
  TOMCAT_KEYSTORE      | true


Keystore Format (JKS/PKCS12)
----------------------------

          Name         | Format
-----------------------+----------
  RMI_SSL_KEYSTORE     | Unknown
  AVAMAR_KEYSTORE      | PKCS12
  AVINSTALLER_KEYSTORE | Unknown
  TOMCAT_KEYSTORE      | PKCS12


Table: Keystore Alias Check
---------------------------

          Name         |                  Path                  |   Alias   | Exists
-----------------------+----------------------------------------+-----------+---------
  RMI_SSL_KEYSTORE     | /usr/local/avamar/lib/rmi_ssl_keystore | mcssl     | false
  RMI_SSL_KEYSTORE     | /usr/local/avamar/lib/rmi_ssl_keystore | mcjwt     | false
  AVAMAR_KEYSTORE      | /usr/local/avamar/lib/avamar_keystore  | mcecroot  | true
  AVAMAR_KEYSTORE      | /usr/local/avamar/lib/avamar_keystore  | mcectls   | true
  AVAMAR_KEYSTORE      | /usr/local/avamar/lib/avamar_keystore  | mcrsaroot | true
  AVAMAR_KEYSTORE      | /usr/local/avamar/lib/avamar_keystore  | mcrsatls  | true
  AVINSTALLER_KEYSTORE | /usr/local/avamar/lib/avi/avi_keystore | tomcat    | false
  AVINSTALLER_KEYSTORE | /usr/local/avamar/lib/avi/avi_keystore | mcssl     | false
  TOMCAT_KEYSTORE      | /home/admin/.keystore                  | tomcat    | false
  TOMCAT_KEYSTORE      | /home/admin/.keystore                  | mcssl     | true


Summary
-------

*** FAIL *** keystore check-config FAILED OVERALL
PROBLEM: AVINSTALLER_KEYSTORE does not exist
PROBLEM: AVAMAR_KEYSTORE ownership/permissions incorrect
PROBLEM: AVINSTALLER_KEYSTORE ownership/permissions incorrect
PROBLEM: changeme is not the correct passphrase for keystore RMI_SSL_KEYSTORE
PROBLEM: changeme is not the correct passphrase for keystore AVINSTALLER_KEYSTORE
PROBLEM: RMI_SSL_KEYSTORE format unknown, keystore might not be readable or passphrase mismatch
PROBLEM: AVINSTALLER_KEYSTORE format unknown, keystore might not be readable or passphrase mismatch
PROBLEM: mcssl alias does not exist in RMI_SSL_KEYSTORE
PROBLEM: mcjwt alias does not exist in RMI_SSL_KEYSTORE
PROBLEM: tomcat alias does not exist in AVINSTALLER_KEYSTORE
PROBLEM: mcssl alias does not exist in AVINSTALLER_KEYSTORE
PROBLEM: tomcat alias does not exist in TOMCAT_KEYSTORE


************************
Task: Auto-Fix Keystores
************************

INFO: Begin fixing any keystore issues...
INFO: Renaming /usr/local/avamar/lib/rmi_ssl_keystore in order to regenerate...
INFO: Renamed /usr/local/avamar/lib/rmi_ssl_keystore to /usr/local/avamar/lib/x-rmi_ssl_keystore.bak
INFO: Renaming /usr/local/avamar/lib/rmi_ssl_keystore in order to regenerate succeeded
INFO: Regenerating RMI_SSL_KEYSTORE
Generating 3,072 bit RSA key pair and self-signed certificate (SHA512withRSA) with a validity of 3,650 days
        for: CN=avamar-rtp, OU=Avamar, O=DELL-EMC, L=Irvine, ST=California, C=US
[Storing /usr/local/avamar/lib/rmi_ssl_keystore]
Generating 3,072 bit RSA key pair and self-signed certificate (SHA512withRSA) with a validity of 3,650 days
        for: CN=avamar-rtp, OU=Avamar, O=DELL-EMC, L=Irvine, ST=California, C=US
Enter key password for <mcjwt>
        (RETURN if same as keystore password):  [Storing /usr/local/avamar/lib/rmi_ssl_keystore]
INFO: RMI_SSL_KEYSTORE Successfully Regenerated
INFO: Please re-import any vcenter certificate if vcenter certificate authentication is used
INFO: RMI_SSL_KEYSTORE Permissions & Ownership Updated


INFO: Regenerating AVINSTALLER_KEYSTORE
Generating 3,072 bit RSA key pair and self-signed certificate (SHA512withRSA) with a validity of 3,650 days
        for: CN=avamar-rtp, OU=Avamar, O=DELL-EMC, L=Irvine, ST=California, C=US
[Storing /usr/local/avamar/lib/avi/avi_keystore]
INFO: AVINSTALLER_KEYSTORE Successfully Regenerated
INFO: AVINSTALLER_KEYSTORE Permissions & Ownership Updated


INFO: Renaming /home/admin/.keystore in order to regenerate...
INFO: Renamed /home/admin/.keystore to /home/admin/x-.keystore.bak
INFO: Renaming /home/admin/.keystore in order to regenerate succeeded
INFO: Regenerating TOMCAT_KEYSTORE
Generating 3,072 bit RSA key pair and self-signed certificate (SHA512withRSA) with a validity of 3,650 days
        for: CN=avamar-rtp, OU=Avamar, O=DELL-EMC, L=Irvine, ST=California, C=US
[Storing /home/admin/.keystore]
INFO: TOMCAT_KEYSTORE Successfully Regenerated
INFO: TOMCAT_KEYSTORE Permissions & Ownership Updated


INFO: Updating mcssl certificate from rmi keystore to tomcat and avi keystore...
INFO: Updating mcssl certificate from rmi keystore to tomcat and avi keystore succeeded
INFO: Restarting MCS   [======>             ]
INFO: Restarting MCS succeeded
INFO: Restarting avinstaller service   [==========>         ]
INFO: Restarting avinstaller service succeeded
INFO: Restarting tomcat service   [                    ]
INFO: Restarting tomcat service succeeded

DONE