SSH:n (SSH) käyttäminen kirjautumiseen Data Domain-etätoimialueelle antamatta salasanaa

SSH on verkkoprotokolla, jonka avulla tietoja voidaan vaihtaa suojatun kanavan kautta kahden verkkoon liitetyn laitteen välillä. SSH suunniteltiin korvaamaan Telnet-protokolla, koska Telnet ei kyennyt suojaamaan tietoja "mies keskellä" -hyökkäyksiltä. SSH:n käyttämä salaus takaa luottamuksellisuuden ja tietojen eheyden suojaamattomassa verkossa, kuten Internetissä.

Käytön helpottamiseksi ja muihin tuotteisiin, kuten Data Protection Advisoriin (DPA), integroimisen helpottamiseksi Data Domainia on ehkä käytettävä ohjelmallisesti ilman, että järjestelmänvalvoja antaa salasanaa joka kerta tai tallentaa salasanan suojaamattomasti johonkin tekstitiedostoon. Siellä SSH-avaimen todennus tulee paikalleen.

SSH-vaatimukset

• Tietokone, johon on asennettu SSH-asiakas (kuten OpenSSH tai PuTTY)
• IP-verkkoyhteydet TCP-portin 22 kautta
• SSH-palvelin käytössä ja kuuntelee TCP-porttia 22 (tämä on oletuksena Data Domain -järjestelmässä)
• Testaa yhteyden muodostaminen DD-etälaitteeseen SSH:n kautta käyttäjänimellä ja salasanalla:

1. Suorita SSH-asiakasohjelmisto etäjärjestelmässä.
2. SSH-asiakkaan määrittäminen muodostamaan yhteys Data Domain -järjestelmän isäntänimellä tai IP-osoitteella
   • Jos käytössä on PuTTY, jätä oletusportti (22) ja valitse Avaa.
   • Jos muodostat yhteyden ensimmäisen kerran, näyttöön tulee seuraavanlainen viesti:

     The server's host key is not cached in the registry. You have no guarantee that the server is the computer you think it is. The server's rsa2 key fingerprint is: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a If you trust this host, hit Yes to add the key to PuTTY's cache and carry on connecting. If you want to carry on connecting just once, without adding the key to the cache, hit No. If you do not trust this host, hit Cancel to abandon the connection.

     
     Valitse Yes
      
3. Kirjaudu järjestelmään. Jos muodostat yhteyden Data Domain -järjestelmään ensimmäistä kertaa ja sysadmin Käyttäjän salasanaa ei ole vaihdettu:
   • Käyttäjätunnus on sysadmin
   • Salasana on järjestelmän sarjanumero.

Järjestelmän määrittäminen kirjautumaan sisään ilman salasanaa: Linux- tai UNIX-järjestelmä

1. Luo SSH-avain.
   Suositeltu avaintyyppi on "rsa" ja on ainoa, joka toimii DDOS 6.0: n ja uudempien versioiden kanssa:

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   "dsa" Tyyppinäppäimet toimivat myös DDOS 5.7:ssä ja sitä aiemmissa versioissa. Tätä avaintyyppiä ei kuitenkaan enää suositella:

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

   DDOS-komentoviitteessä sanotaan, että voit käyttää " d" vaihtoehto " sijasta "-t dsa. Kumpikin toimii DDOS: lla, mutta " d" ei toimi monissa Linux-jakeluissa.

   Tyhjän tunnuslauseen avulla voit ohittaa Data Domain -salasanavaatimuksen komentosarjoja suoritettaessa.

   Merkitse uuden SSH-avaimen sijainti kohtaan "ssh-keygen" komennon lähtö. Se tallennetaan käyttäjän $HOME Alla oleva hakemisto .ssh/ tiedostona, jonka nimi on id_rsa.pub.

2. Lisää luotu avain Data Domain -järjestelmien käyttöoikeusluetteloon:

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Testin toiminnallisuus:

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Voit myös välittää kokonaisen komentosarjan tiedostona laitteeseen. Tämä tehdään suorittamalla komento, joka osoittaa tiettyyn tiedostoon, joka sisältää komentoluettelon:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Näin operaattori voi luoda luettelon komennoista etäisännässä ja suorittaa ne kaikki kerralla SSH:n kautta.
 

Järjestelmän määrittäminen kirjautumaan sisään ilman salasanaa: Windows-järjestelmät (PuTTY)

1. Asenna SSH PuTTY -työkalut (PuTTY,PuTTYgen ja Pageant) Windows-järjestelmään.

2. Luo PuTTY-istunto.

   1. Käynnistä PuTTY PuTTY-määritystyökalulla.
   2. Tallenna istunto Data Domain -järjestelmän IP-osoitteella.
      1. Valitse PuTTY-määritys-valintaikkunassa Luokkaistunto>.
      2. Valitse SSH-painike .
      3. Kirjoita Data Domain -järjestelmän IP-osoite Isäntänimi - ja Tallennetut istunnot -kenttään. Esimerkki: 168.192.2.3
      4. Valitse Save.
         

3. Anna automaattisen kirjautumisen käyttäjänimi.

   1. Valitse PuTTY Configuration -valintaikkunassa Category>Connection>Data.
   2. Kirjoita järjestelmänvalvojan käyttäjätunnus Automaattisen kirjautumisen käyttäjänimi -kenttään. Esimerkki:
      sysadmin
   3. Valitse Save.

4. Luo PuTTY-avain.

   1. Käynnistä PuTTYgen, PuTTY Key Generator -työkalu:
      
   2. Luo julkisia ja yksityisiä avaimia PuTTY Key Generator -työkalulla.
      1. Luo satunnaisuutta siirtämällä kohdistin Avain-kentän tyhjän alueen päälle.
         Julkinen avain OpenSSH:hon liittämistä varten authorized_keys Tiedosto täyttyy satunnaisilla merkeillä.
         Avainsormenjälki-kenttä täyttyy viitearvoilla.
      2. Luo avaimen tunnusAvainkommentti-kenttään ja kirjoita yksilöivä avaimen nimi, esimerkiksi:
         admin_name@company.com
      3. Jätä Tunnuslause - ja Vahvista tunnuslause -kentät tyhjiksi.
         Tyhjän tunnuslauseen avulla voit ohittaa Data Domain -järjestelmän salasanavaatimuksen komentosarjoja suoritettaessa.
      4. Valitse Tallenna julkinen avain.
      5. Klikkaa Tallenna yksityinen avain.
         Kirjoita tallennetun avaintiedoston polku muistiin.
         Esimerkkiavaimen tiedostonimi: DataDomain_private_key.ppk
   3. Kopioi satunnaisesti luotu PuTTY-avain.
      Valitse kaikki teksti Julkinen avain kenttä liitettäväksi OpenSSH: hon authorized_keys file.
      

5. Lisää avain Data Domain -järjestelmän komentoriville.

   1. Avaa Data Domain -järjestelmän komentokehote.
   2. Lisää järjestelmänvalvojan SSH-käyttöoikeusavain.
      Kirjoita komentoriville:

      adminaccess add ssh-keys

   3. Liitä satunnaisesti luotu avain PuTTYgen-kentästä .
      Napsauta hiiren kakkospainikkeella > Liitä-vaihtoehtoa.
   4. Suorita komento; Paina CTRL+D.
      

6. Kiinnitä avain PuTTY-ohjelmistoon.

   1. Valitse PuTTY Configuration Tool -työkalussaConnection>SSH>Auth.
   2. Valitse valintaruutu Yritä todennusta kilpailun avulla.
   3. Valintaruutu Yritä näppäimistön vuorovaikutteista todennusta (SSH-2)
   4. Valitse todennuskentän yksityisen avaimen tiedostosta Selaa.
   5. Etsi vaiheessa 3 luotu ja tallennettu PuTTY-avain . Esimerkki: DataDomain_private_key.ppk
   6. Tallenna asetukset, klikkaa Tallenna.
      

7. Avaa istunto.

   1. Valitse PuTTY-määritys-valintaikkunassaLuokkaistunto>.
   2. Valitse Open.
      Windowsin komentorivi avautuu. PuTTY-istunto avautuu.
      Käyttäjätunnuksen käyttäminen sysadmin Data Domain OS Authenticating Julkisella avaimella:

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #