Använda SSH (SSH) för att logga in på en fjärransluten Data Domain utan att ange lösenord

SSH är ett nätverksprotokoll som gör det möjligt att utbyta data med hjälp av en säker kanal mellan två nätverksenheter. SSH utformades som en ersättning för Telnet-protol på grund av Telnets oförmåga att skydda data mot "man in the middle"-attacker. Krypteringen som används av SSH ger konfidentialitet och integritet för data över ett osäkert nätverk, till exempel Internet.

För enkelhetens skull och för enkelhetens skull och integreringen i andra produkter (t.ex. DELL EMC DPA) kan en DD behöva nås programmatiskt utan att en administratör ger ett lösenord varje gång eller lagrar lösenordet på ett osäkert sätt i någon textfil. Det är där SSH-nyckelautentisering kommer in i bilden.

SSH-krav

• En dator med en SSH-klient installerad (t.ex. OpenSSH eller PuTTY)
• IP-nätverksanslutning med TCP-port 22
• SSH-server aktiverad och lyssnar på TCP-port 22 (detta är standard för Data Domain-systemet)
• Testa att du först kan ansluta till fjärr-DD via SSH med hjälp av ett användarnamn och lösenord:

1. Kör SSH-klientprogramvaran på fjärrsystemet.
2. Konfigurera SSH-klienten för anslutning med hjälp av Data Domain-systemets värdnamn eller IP-adress.
   • Om du använder PuTTY, lämna standardporten (22) och klicka på: "Öppna."
   • Om du ansluter för första gången visas ett meddelande som ser ut ungefär så här:

     Serverns värdnyckel cachelagras inte i registret. Du har ingen garanti för att servern är den dator du tror att den är. Serverns rsa2-nyckelfingeravtryck är: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a Om du litar på den här värden, tryck på Ja för att lägga till nyckeln till PuTTY:s cache och fortsätta ansluta. Om du vill fortsätta att ansluta bara en gång, utan att lägga till nyckeln i cachen, tryck på Nej. Om du inte litar på den här värden trycker du på Avbryt för att avbryta anslutningen.

     Klicka på Ja
3. Logga in i systemet. Om du ansluter till Data Domain-systemet för första gången och sysadmin-användarlösenordet inte har ändrats:
   • Användarnamn är: sysadmin
   • Lösenordet är systemets serienummer 180583

Konfigurera systemet att logga in utan att använda ett lösenord: På ett Linux- eller UNIX-system

1. Generera en SSH-nyckel.
   #### Rekommenderad nyckeltyp är "rsa" och är den enda som fungerar med DDOS 6.0 och senare

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Nycklar av typen "dsa" fungerar också på DDOS 5.7 eller tidigare, men den här nyckeltypen rekommenderas inte längre

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   DDOS-kommandoreferensen säger att du ska använda " d" istället för "-t dsa.” Båda kommer att fungera på DDOS, men " d" fungerar inte på många Linux-distributioner.

   Använd alternativet med tom lösenfras för att kringgå systemlösenordet för Data Domain när skript körs.

   Observera platsen för den nya SSH-nyckeln på "ssh-keygen" kommandoutgång. Den lagras under användarens $HOME-katalog under .ssh/ som en fil med namnet id_rsa.pub.

2. Lägg till den genererade nyckeln i Data Domains lista över systemåtkomst.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Testa funktionaliteten.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Du kan också skicka ett helt skript med systemkommandon i en fil till enheten. Detta görs genom att köra ett kommando som pekar på den specifika filen som innehåller listan med kommandon:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Detta gör det möjligt för en operatör att skapa en lista med kommandon på en fjärrvärd och sedan köra dem alla på en gång över SSH.

Konfigurera systemet att logga in utan att använda ett lösenord: Windows-system (PuTTY)

1. Installera SSH PuTTY-verktygen: PuTTY, PuTTYgen och Pageant i Windows-systemet

2. Skapa en PuTTY-session.

   1. Starta PuTTY, PuTTY-konfigurationsverktyget.
   2. Spara en session med Data Domain-systemets IP-adress.
      1. I dialogrutan PuTTY-konfiguration väljer du Kategorisession>.
      2. Välj SSH-knappen .
      3. Ange IP-adressen för Data Domain-systemet i fälten Host Name och Saved Sessions. Till exempel: 168.192.2.3
      4. Klicka på Save.
         

3. Ange användarnamn för automatisk inloggning.

   1. I dialogrutan PuTTY-konfiguration väljer du kategorin>Anslutningsdata>.
   2. Ange administratörens användarnamn i fältet Användarnamn för automatisk inloggning. Till exempel:
      systemadministratör
   3. Klicka på Save.

4. Skapa en PuTTY-nyckel.

   1. Starta PuTTYgen, verktyget PuTTY Key Generator.
      
   2. Generera offentliga och privata nycklar med hjälp av verktyget PuTTY Key Generator.
      1. Generera lite slumpmässighet genom att flytta markören över det tomma området i fältet Nyckel.
         Den publika nyckeln för att klistra in i OpenSSH authorized_keys-filen fylls med slumpmässiga tecken.
         Fältet Nyckelfingeravtryck fylls med referensvärden.
      2. Skapa en nyckelidentifierare i fältet Nyckelkommentar och ange ett identifierande nyckelnamn, till exempel:
         admin_name@company.com
      3. Lämna fälten Nyckellösenfras och Bekräfta lösenfras tomma.
         Använd alternativet med tom lösenfras för att kringgå systemlösenordet för Data Domain när skript körs.
      4. Klicka på Spara offentlig nyckel.
      5. Klicka på Spara privat nyckel.
         Anteckna sökvägen till den sparade nyckelfilen. Exempel på nyckelfilnamn:
         DataDomain_private_key.ppk
   3. Kopiera den slumpmässigt genererade PuTTY-nyckeln.
      Markera all text i fältet Offentlig nyckel för inklistring i OpenSSH authorized_keys-filen.
      

5. Lägg till nyckeln i systemkommandoraden för Data Domain.

   1. Öppna en systemkommandotolk för Data Domain.
   2. Lägg till den administrativa SSH-åtkomstnyckeln. På kommandoraden skriver du:

      adminaccess add ssh-keys

   3. Klistra in den slumpmässigt genererade nyckeln från fältet PuTTYgen. Använd musen för att högerklicka på > alternativet Klistra in.
   4. Slutför kommandot och tryck på CTRL+D.
      

6. Bifoga nyckeln till PuTTY.

   1. I PuTTY-konfigurationsverktyget väljer du Anslutning>SSH-autentisering>.
   2. Kryssrutan Försök autentisera med hjälp av Pageant.
   3. Kryssrutan Försök med interaktiv autentisering med tangentbord (SSH-2)
   4. I fältet Privat nyckel för autentisering klickar du på Bläddra.
   5. Bläddra till PuTTY-nyckeln som genererades och sparades i steg 3. Till exempel DataDomain_private_key.ppk
   6. Spara inställningar och klicka på Spara.
      

7. Öppna sessionen.

   1. I dialogrutan PuTTY-konfiguration väljer du Kategorisession>.
   2. Klicka på Öppna.
      En Windows-kommandorad öppnas. PuTTY-sessionen öppnas.
      Använda användarnamn sysadmin Data Domain OS Autentisera med offentlig nyckel

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #