Używanie SSH (SSH) do logowania się do zdalnego systemu Data Domain bez podawania hasła

SSH to protokół sieciowy, który umożliwia wymianę danych za pomocą bezpiecznego kanału między dwoma urządzeniami w sieci. Protokół SSH został zaprojektowany jako zamiennik protokołu Telnet ze względu na niezdolność tego protokołu do ochrony danych przed atakami typu „man in the middle”. Szyfrowanie używane przez SSH zapewnia poufność i integralność danych w niezabezpieczonej sieci, takiej jak Internet.

Ze względu na wygodę, łatwość administrowania i integrację z innymi produktami (np. DELL EMC DPA) może być wymagany programowy dostęp do DD bez każdorazowego podawania hasła przez administratora lub niezabezpieczonego przechowywania hasła w pliku tekstowym. W tym miejscu dochodzi do uwierzytelnienia kluczem SSH.

Wymagania dotyczące protokołu SSH

• Komputer z zainstalowanym klientem SSH (takim jak OpenSSH lub PuTTY)
• Łączność z siecią IP przy użyciu portu TCP 22
• Serwer SSH włączony i nasłuchujący na porcie TCP 22 (jest to ustawienie domyślne dla systemu Data Domain)
• Sprawdź, czy początkowo możesz połączyć się ze zdalnym DD za pośrednictwem SSH przy użyciu nazwy użytkownika i hasła:

1. Uruchom oprogramowanie klienta SSH w systemie zdalnym.
2. Skonfiguruj klienta SSH w celu nawiązania połączenia przy użyciu nazwy hosta systemowego lub adresu IP Data Domain.
   • Jeśli używasz klienta PuTTY, pozostaw domyślny port (22) i kliknij: opcję „Otwórz”.
   • Jeśli łączysz się po raz pierwszy, pojawi się komunikat wyglądający podobnie do tego:

     Klucz hosta serwera nie jest buforowany w rejestrze. Nie masz gwarancji, że serwer jest takim komputerem, za jaki go uważasz. Odcisk cyfrowy klucza rsa2 serwera to: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a Jeśli ufasz temu hostowi, naciśnij przycisk Yes, aby dodać klucz do pamięci podręcznej klienta PuTTY i kontynuować łączenie. Jeśli chcesz nawiązać połączenie tylko raz, bez dodawania klucza do pamięci podręcznej, naciśnij przycisk No. Jeśli nie ufasz temu hostowi, naciśnij przycisk Anuluj, aby przerwać połączenie.

     Kliknij przycisk Yes (Tak)
3. Zaloguj się do systemu. Jeśli łączysz się z systemem Data Domain po raz pierwszy, a hasło użytkownika "sysadmin" nie zostało zmienione:
   • nazwa użytkownika to: sysadmin
   • hasło to numer seryjny 180583 systemu

Konfigurowanie systemu do logowania bez użycia hasła: W systemie Linux lub UNIX

1. Wygeneruj klucz SSH.
   #### Zalecany typ klucza to „rsa” i jest jedynym, który działa z DDOS 6.0 i nowszymi wersjami

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Klucze typu „dsa” będą również działać w DDOS 5.7 lub wcześniejszym, jednak ten typ klucza nie jest już zalecany

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   Podręcznik informacyjny poleceń DDOS zawiera informację, aby użyć opcji „ d” zamiast „-t dsa”. Każda z nich będzie działał na DDOS, ale „ d” nie działa w wielu dystrybucjach systemu Linux.

   Podczas uruchamiania skryptów użyj opcji pustego hasła, aby obejść wymóg hasła systemowego Data Domain.

   Zanotuj lokalizację nowego klucza SSH w danych wyjściowych „ssh-keygen” polecenia. Jest on przechowywany w katalogu $HOME użytkownika poniżej .ssh/ jako plik o nazwie id_rsa.pub.

2. Dodaj wygenerowany klucz do listy dostępu do systemów Data Domain.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Funkcjonalność testu.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Możesz także przekazać do urządzenia cały skrypt poleceń systemowych w pliku. Odbywa się to poprzez uruchomienie polecenia wskazującego konkretny plik zawierający listę poleceń:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Dzięki temu operator może utworzyć listę poleceń na zdalnym hoście, a następnie uruchomić je wszystkie naraz przez SSH.

Konfigurowanie systemu do logowania bez użycia hasła: Systemy Windows (PuTTY)

1. Zainstaluj narzędzia PuTTY SSH: PuTTY, PuTTYgen i Pageant w systemie Windows

2. Utwórz sesję programu PuTTY.

   1. Uruchom PuTTY, narzędzie konfiguracji programu PuTTY.
   2. Zapisz sesję z adresem IP systemu Data Domain.
      1. W oknie dialogowym PuTTY Configuration wybierz pozycję Category > Session.
      2. Wybierz przycisk SSH.
      3. Wprowadź adres IP systemu Data Domain w polu Host Name i w polu Saved Sessions. Oto przykład: 168.192.2.3
      4. Wybierz przycisk Save.
         

3. Wprowadź nazwę użytkownika automatycznego logowania.

   1. W oknie dialogowym PuTTY Configuration wybierz pozycję Category > Connection > Data.
   2. Wprowadź nazwę użytkownika administratora w polu Auto-login username. Oto przykład:
      sysadmin
   3. Wybierz przycisk Save.

4. Utwórz klucz programu PuTTY.

   1. Uruchom PuTTYgen, narzędzie PuTTY Key Generator.
      
   2. Wygeneruj klucze publiczne i prywatne za pomocą narzędzia PuTTY Key Generator.
      1. Wygeneruj pewną losowość, przesuwając kursor nad pustym obszarem w polu Key.
         Klucz publiczny do wklejenia do pliku OpenSSH authorized_keys wypełnia się losowymi znakami.
         Pole Key fingerprint zostaje wypełnione wartościami referencyjnymi.
      2. Utwórz identyfikator klucza w polu Key comment, wpisz identyfikującą nazwę klucza, na przykład:
         admin_name@company.com
      3. Pola Key passphrase i Confirm passphrase pozostaw puste.
         Podczas uruchamiania skryptów użyj opcji pustego hasła, aby obejść wymóg hasła systemowego Data Domain.
      4. Kliknij opcję Save public key.
      5. Kliknij opcję Save private key.
         Zanotuj ścieżkę do zapisanego pliku klucza. Przykładowa nazwa pliku klucza:
         DataDomain_private_key.ppk
   3. Skopiuj losowo wygenerowany klucz PuTTY.
      Zaznacz cały tekst w polu Public key w celu wklejenia do pliku authorized_keys OpenSSH.
      

5. Dodaj klucz w wierszu polecenia systemu Data Domain.

   1. Otwórz wiersz polecenia systemu Data Domain.
   2. Dodaj administracyjny klucz dostępu SSH. W wierszu poleceń wpisz:

      adminaccess add ssh-keys

   3. Wklej losowo wygenerowany klucz z pola PuTTYgen. Prawym przyciskiem myszy kliknij opcję wklejenia >.
   4. Zakończ polecenie, naciśnij klawisze CTRL+D.
      

6. Dołącz klucz do programu PuTTY.

   1. W narzędziu konfiguracji PuTTY Configuration wybierz pozycję Connection > SSH > Auth.
   2. Zaznacz pole wyboru Attempt authentication using Pageant.
   3. Zaznacz pole wyboru Attempt keyboard-interactive auth (SSH-2)
   4. W polu Private key file for the authentication, kliknij opcję Browse.
   5. Przejdź do klucza PuTTY wygenerowanego i zapisanego w kroku 3. Na przykład DataDomain_private_key.ppk
   6. Zapisz ustawienia, kliknij opcję Save.
      

7. Otwórz sesję.

   1. W oknie dialogowym PuTTY Configuration wybierz pozycję Category > Session.
   2. Kliknij polecenie Otwórz.
      Otwarty zostaje wiersz poleceń systemu Windows Zostaje otwarta sesja programu PuTTY.
      Korzystanie z nazwy użytkownika sysadmin Data Domain OS Authenticating z kluczem publicznym

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #