Avamar：Data Domain 整合：SSH Cipher Suite 相容性

Data Domain （DD 或 DDR） 上已變更或升級 Cipher 套件。Avamar 無法再使用無密碼驗證登入 Data Domain。

Avamar 使用 Data Domain 的公開金鑰登入 Data Domain，以便在啟用工作階段安全性功能時交換憑證。

DDR 金鑰也可用於更新 Avamar Web 使用者介面 （AUI） 和 Java UI 中的 Data Domain。

有文章說明如何變更 Data Domain SSH 加密套件和 hmac：如何在 DDOS 中調整 SSH 伺服器支援的密碼和雜湊演算法

症狀可能會導致 Avamar UI 發生以下錯誤：

Failed to import host or ca automatically

這可防止 Avamar 和 Data Domain 之間透過 SSH 連線交換憑證。

在下列文章如何在 DDOS 中調整 SSH 伺服器支援的密碼與雜湊演算法 （症狀一節） 的內容：

DD SSH 伺服器上的密碼套件已變更：

ddboost@datadomain# adminaccess ssh option show 

Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com 

ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"

Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".

ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256" 

Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".

ddboost@datadomain# adminaccess ssh option show 

Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

此變更會中斷使用 DDR 公開金鑰從 Avamar 到 Data Domain 執行 SSH 的能力。

這是因為 Avamar SSH 用戶端不再與 Data Domain SSH 伺服器共用密碼套件：

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.company.com

Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

在 Data Domain 上更新 SSH 密碼套件後，Avamar SSH 用戶端上的密碼套件必須更新以符合：

1.列出目前的 Avamar SSH 用戶端加密套件：

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc

2.編輯 ssh_config 檔案：

root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config

3.使用密碼清單變更檔案的最後一行以包含新密碼 chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

4.編輯檔案的最後一行後，應如下所示：

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc

5.使用 DDR 公開金鑰測試 SSH 加密套件相容性，以使用公開金鑰驗證登入 Data Domain：

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.compnay.com

Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**