Integração do Avamar e do Data Domain: Compatibilidade do Conjunto de codificações SSH

Os conjuntos de codificações são alterados ou atualizados no Data Domain. O Avamar não consegue mais fazer log-in no Data Domain usando a autenticação sem senha.

O Avamar faz log-in no Data Domain usando a chave pública do Data Domain para trocar certificados quando os recursos de segurança da sessão estão ativados.

A chave DDR também é usada para atualizar o Data Domain na AUI do Avamar e na interface do usuário do Java.

Há um artigo que explica como alterar os conjuntos de codificações e hmacs SSH do Data Domain:
Como ajustar codificações compatíveis e algoritmos de hash para o servidor SSH no DDOS

Sintomas podem resultar no seguinte erro na interface do usuário/interface do usuário do Avamar:
"Failed to import host or ca automatically" para o Data Domain

Isso impede a troca de certificados entre o Avamar e o Data Domain em conexões SSH.

A partir do conteúdo do artigo da KB na seção sintomas:
000069763 | Como ajustar codificações e algoritmos de hash compatíveis para o servidor SSH no DDOS

Os conjuntos de codificações são alterados no servidor DD SSH:

ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com

ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"
Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".

ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256"
Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".

ddboost@datadomain# adminaccess ssh option show
Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

Essa alteração rompe a capacidade de SSH com a chave pública DDR do Avamar para o Data Domain.
Isso ocorre porque o Avamar SSH Client não compartilha mais um conjunto de codificações com o servidor SSH do Data Domain.

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Depois que os conjuntos de codificações SSH forem atualizados no Data Domain, devemos atualizar os conjuntos de codificações no lado do client SSH do Avamar para corresponder.

Ação
Listar os conjuntos de codificações atuais do client Avamar SSH

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc

Edite ssh_config arquivo e altere a última linha do arquivo com a lista de cifras para incluir as novas cifras. chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config

Depois de editar a última linha do arquivo, ela deve ser semelhante à seguinte:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc

Teste a compatibilidade do conjunto de codificações SSH usando a chave pública DDR para fazer log-in no Data Domain com autenticação de chave pública.

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.emc.com
Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**
ddboost@datadomain#