Авамар: Інтеграція домену даних: Сумісність SSH Cipher Suite
Résumé: Інтеграція домену Avamar та даних: Проблеми сумісності SSH Cipher Suite можуть виникати через зміну SSH-серверних наборів шифрів, які підтримує Data Domain.
Symptômes
Набори шифрів змінюються або оновлюються у домені даних (DD або DDR). Avamar більше не може увійти в домен даних за допомогою автентифікації без пароля.
Avamar заходить у домен даних, використовуючи публічний ключ домену даних, щоб обмінюватися сертифікатами, коли увімкнені функції безпеки сесії.
Ключ DDR також використовується для оновлення домену даних у веб-інтерфейсі користувача Avamar (AUI) та інтерфейсі Java.
Існує стаття, яка пояснює, як змінити набори шифрів і hmac у домені даних SSH: Як налаштувати підтримувані шифри та алгоритми хешування для SSH-сервера в DDOS
Симптоми можуть призвести до наступної помилки в інтерфейсі Avamar:
Failed to import host or ca automatically
Це запобігає обміну сертифікатами між Avamar і Data Domain через SSH-з'єднання.
Cause
З змісту наступної статті «Як налаштувати підтримувані шифри та алгоритми хешування SSH сервера в DDOS » (розділ симптомів):
Набори шифрів змінюються на сервері DD SSH:
ddboost@datadomain# adminaccess ssh option show
Option Value
--------------- ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout default (infinite)
server-port default (22)
ciphers aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".
ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".
ddboost@datadomain# adminaccess ssh option show
Option Value
--------------- ---------------------------------------------------------------------------------------
session-timeout default (infinite)
server-port default (22)
ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
Ця зміна порушує можливість SSH з публічним ключем DDR з Avamar до Data Domain.
Це пов'язано з тим, що клієнт SSH Avamar більше не має спільного набору шифрів із сервером SSH домену даних:
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.company.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.comRésolution
Після оновлення наборів шифрів SSH на Data Domain набори шифрів на стороні клієнта Avamar SSH мають бути оновлені відповідно до наступних варіантів:
1. Перелічіть поточні набори шифрів Avamar SSH Client:
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
2. Редагувати ssh_config Файл:
root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config
3. Змініть останній рядок файлу зі списком шифрів, щоб додати нові шифри chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
4. Після редагування останнього рядка файлу він має виглядати так:
root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
5. Перевірте сумісність набору шифрів SSH за допомогою публічного ключа DDR для входу в Data Domain з автентифікацією відкритого ключа:
root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.compnay.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
** to display outstanding alert(s).
**