Avamar: Data Domain Integration: SSH Cipher Suite-Kompatibilität

Cipher Suites werden in Data Domain (DD oder DDR) geändert oder aktualisiert. Avamar ist nicht mehr in der Lage, sich mit kennwortloser Authentifizierung bei Data Domain anzumelden.

Avamar meldet sich bei Data Domain mit dem öffentlichen Schlüssel von Data Domain an, um Zertifikate auszutauschen, wenn Sitzungssicherheitsfunktionen aktiviert sind.

Der DDR-Schlüssel wird auch verwendet, um Data Domain in der Avamar-Webnutzeroberfläche (AUI) und der Java-Benutzeroberfläche zu aktualisieren.

Es gibt einen Artikel, in dem erläutert wird, wie Sie die Data Domain-SSH-Cipher Suites und HMACs ändern können: Tuning unterstützter Verschlüsselungen und Hashalgorithmen für den SSH-Server in DDOS

Symptome können zu folgendem Fehler in der Avamar-Benutzeroberfläche führen:

Failed to import host or ca automatically

Dies verhindert den Austausch von Zertifikaten zwischen Avamar und Data Domain über SSH-Verbindungen.

Aus dem Inhalt des folgenden Artikels Tuning unterstützter Verschlüsselungen und Hashalgorithmen für den SSH-Server in DDOS (Abschnitt "Symptome"):

Cipher Suites werden auf dem DD-SSH-Server geändert:

ddboost@datadomain# adminaccess ssh option show 

Option            Value
---------------   ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           aes128-cbc,chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
macs              hmac-sha1,hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com 

ddboost@datadomain# adminaccess ssh option set ciphers "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com"

Adminaccess ssh option "ciphers" set to "chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com".

ddboost@datadomain# adminaccess ssh option set macs "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256" 

Adminaccess ssh option "macs" set to "hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256".

ddboost@datadomain# adminaccess ssh option show 

Option            Value
---------------   ---------------------------------------------------------------------------------------
session-timeout   default (infinite)
server-port       default (22)
ciphers           chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
macs              hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

Diese Änderung unterbricht die Möglichkeit, eine SSH-Verbindung mit dem öffentlichen DDR-Schlüssel von Avamar zu Data Domain herzustellen.

Der Grund dafür ist, dass der Avamar-SSH-Client keine Cipher Suite mehr mit dem Data Domain-SSH-Server gemeinsam nutzt:

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.company.com

Unable to negotiate with 10.11.12.13 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Nachdem die SSH-Cipher Suites auf Data Domain aktualisiert wurden, müssen die Cipher Suites auf der Avamar-SSH-Clientseite entsprechend aktualisiert werden:

1. Listen Sie die aktuellen Cipher Suites des Avamar-SSH-Clients auf:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc

2. Bearbeiten Sie die ssh_config Datei:

root@avamar:/etc/ssh/#: vi /etc/ssh/ssh_config

3. Ändern Sie die letzte Zeile der Datei mit der Liste der Chiffren, um die neuen Chiffren einzuschließen chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

4. Nachdem Sie die letzte Zeile der Datei bearbeitet haben, sollte sie wie folgt aussehen:

root@avamar:/etc/ssh/#: grep Ciphers /etc/ssh/ssh_config | grep -v "#"

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc

5. Testen Sie die SSH-Cipher-Suite-Kompatibilität mithilfe des öffentlichen DDR-Schlüssels, um sich mit der Authentifizierung mit öffentlichem Schlüssel bei Data Domain anzumelden:

root@avamar:/etc/ssh/#: ssh -i ~admin/.ssh/ddr_key ddboost@datadomain.compnay.com

Data Domain OS
Last login: Tue Sep 13 10:32:07 EDT 2022 from 10.11.12.13 on pts/1
Welcome to Data Domain OS 6.2.0.30-629757
-----------------------------------------
**
** NOTICE: There are 5 outstanding alerts. Run "alerts show current"
**         to display outstanding alert(s).
**