Avamar. Интеграция Data Domain. Совместимость с пакетом шифрования SSH
Resumen: Интеграция Avamar и Data Domain: При изменении пакетов шифрования сервера SSH, поддерживаемых Data Domain, могут возникнуть проблемы с совместимостью пакетов шифрования SSH.
Síntomas
Пакеты шифрования изменяются или модернизируются в Data Domain (DD или DDR). Avamar больше не может войти в Data Domain, используя аутентификацию без пароля.
Avamar выполняет вход в Data Domain с помощью открытого ключа Data Domain для обмена сертификатами при включенных функциях безопасности сеанса.
Ключ DDR также используется для обновления Data Domain в пользовательском веб-интерфейсе Avamar (AUI) и пользовательском интерфейсе Java.
Существует статья, в которой объясняется, как изменить пакеты шифрования SSH Data Domain и hmac: Настройка поддерживаемых шифров и алгоритмов хеширования для SSH-сервера в DDOS
Симптомы могут приводить к следующей ошибке в пользовательском интерфейсе Avamar:
Failed to import host or ca automatically
Это предотвращает обмен сертификатами между Avamar и Data Domain по SSH-соединениям.
Causa
Из содержания следующей статьи Как настроить поддерживаемые шифры и алгоритмы хеширования для сервера SSH в DDOS (раздел «Признаки»):
На сервере DD SSH изменяются пакеты шифрования:
ddboost@datadomain# adminaccess ssh option show
Option Value
--------------- ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout default (infinite)
server-port default (22)
ciphers aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
ddboost@datadomain# adminaccess ssh option show
Option Value
--------------- ---------------------------------------------------------------------------------------
session-timeout default (infinite)
server-port default (22)
ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
Это изменение делает невозможным использование открытого ключа DDR через SSH из Avamar в Data Domain.
Это связано с тем, что клиент SSH Avamar больше не использует пакет шифрования совместно с сервером SSH Data Domain.
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.company.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.comResolución
После обновления пакетов шифрования SSH в Data Domain необходимо обновить пакеты шифрования на стороне клиента SSH Avamar, чтобы обеспечить соответствие:
1. Выводит список текущих пакетов шифрования Avamar SSH Client.
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
2. Отредактируйте файл ssh_config .
root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
3. Измените последнюю строку файла со списком шифров, включив в нее новые шифры chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
4. После редактирования последней строки файла он должен выглядеть следующим образом:
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
5. Проверьте совместимость пакета шифрования SSH, используя открытый ключ DDR для входа в Data Domain с проверкой подлинности с открытым ключом:
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.compnay.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
** to display outstanding alert(s).
**