Avamar: Data Domain-integrering: Kompatibilitet med SSH Cipher Suite
Résumé: Avamar- och Data Domain-integrering: Kompatibilitetsproblem för SSH Cipher Suite kan uppstå om du ändrar de SSH-serverchiffersviter som Data Domain stöder.
Symptômes
Chiffersviter ändras eller uppgraderas på Data Domain (DD eller DDR). Avamar kan inte längre logga in på Data Domain med lösenordsfri autentisering.
Avamar loggar in på Data Domain med hjälp av Data Domains offentliga nyckel för att utbyta certifikat när sessionssäkerhetsfunktioner är aktiverade.
DDR-nyckeln används även för att uppdatera Data Domain i Avamar-webbanvändargränssnittet (AUI) och Java-användargränssnittet.
Det finns en artikel som förklarar hur du ändrar Data Domain SSH-chiffersviter och hmac-koder: Så här finjusterar du chiffer och hashalgoritmer som stöds för SSH-servern i DDOS
Symtom kan resultera i följande fel i Avamar-användargränssnittet:
Failed to import host or ca automatically
Detta förhindrar utbyte av certifikat mellan Avamar och Data Domain via SSH-anslutningar.
Cause
Från innehållet i följande artikel Så här finjusterar du chiffer och hash-algoritmer som stöds för SSH-servern i DDOS (avsnittet Symptom):
Chiffersviter ändras på DD SSH-servern:
ddboost@datadomain# adminaccess ssh option show
Option Value
--------------- ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout default (infinite)
server-port default (22)
ciphers aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
ddboost@datadomain# adminaccess ssh option show
Option Value
--------------- ---------------------------------------------------------------------------------------
session-timeout default (infinite)
server-port default (22)
ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
Den här ändringen gör det inte möjligt att SSH-ansluta med den offentliga DDR-nyckeln från Avamar till Data Domain.
Det beror på att Avamar SSH-klienten inte längre delar chiffersvit med Data Domain SSH-servern:
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.company.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.comRésolution
När SSH-chiffersviterna har uppdaterats på Data Domain måste chiffersviterna på Avamar SSH-klientsidan uppdateras så att de matchar:
1. Visa en lista över aktuella Avamar SSH Client-chiffersviter:
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
2. Redigera ssh_config Filen:
root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
3. Ändra den sista raden i filen med listan över chiffer så att den innehåller de nya chiffren chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
4. När du har redigerat den sista raden i filen bör den se ut så här:
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
5. Testa SSH-chiffersvitens kompatibilitet med den offentliga DDR-nyckeln för att logga in på Data Domain med autentisering med offentlig nyckel:
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.compnay.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
** to display outstanding alert(s).
**