Usando SSH (SSH) para fazer log-in em um Data Domain remoto sem fornecer uma senha

SSH é um protocolo de rede que permite a troca de dados usando um canal seguro entre dois dispositivos em rede. O SSH foi projetado como um substituto para o protol Telnet devido à incapacidade do Telnet de proteger os dados contra ataques "man in the middle". A criptografia usada pelo SSH fornece confidencialidade e integridade dos dados em uma rede insegura, como a Internet.

Por conveniência, facilidade de administração e integração em outros produtos (como o DELL EMC DPA), talvez seja necessário acessar um DD programaticamente sem que um administrador forneça uma senha toda vez ou armazenar a senha de forma insegura em algum arquivo de texto. É aí que a autenticação de chave SSH entra em vigor.

Requisitos de SSH

• Um computador com um client SSH instalado (como OpenSSH ou PuTTY)
• Conectividade de rede IP usando a porta TCP 22
• Servidor SSH ativado e escutando na porta TCP 22 (esse é o padrão para o sistema Data Domain)
• Teste se você pode inicialmente se conectar ao DD remoto por meio de SSH usando um nome de usuário e senha:

1. Execute o software client SSH no sistema remoto.
2. Configure o client SSH para se conectar usando o hostname do sistema Data Domain ou o endereço IP.
   • Se estiver usando PuTTY, saia da porta padrão (22) e clique em: "Aberto".
   • Se você estiver se conectando pela primeira vez, será exibida uma mensagem semelhante a esta:

     A chave de host do servidor não é armazenada em cache no registro. Você não tem garantia de que o servidor é o computador que você acha que é. A impressão digital da chave rsa2 do servidor é: ssh-rsa 1024 7b:e5:6f:a7:f4:f9:81:62:5c:e3:1f:bf:8b:57:6c:5a Se você confia nesse host, pressione Yes para adicionar a chave ao cache do PuTTY e continuar a conexão. Se você quiser continuar conectando apenas uma vez, sem adicionar a chave ao cache, pressione Não. Se você não confiar nesse host, clique em Cancelar para abandonar a conexão.

     Clique em Yes
3. Faça login no sistema. Se estiver se conectando ao sistema Data Domain pela primeira vez e a senha do usuário "sysadmin" não tiver sido alterada:
   • O nome de usuário é: sysadmin
   • A senha é o número de série 180583 do sistema

Como configurar o sistema para fazer log-in sem usar uma senha: Em um sistema Linux ou UNIX

1. Gere uma chave SSH.
   #### O tipo de chave recomendado é "rsa" e é o único que funciona com o DDOS 6.0 e posterior

   # ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub.

   #### Chaves do tipo "dsa" também funcionarão no DDOS 5.7 ou anterior, no entanto, esse tipo de chave não é mais recomendado

   # ssh-keygen -t dsa

   Generating public/private dsa key pair. Enter file in which to save the key (/root/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_dsa.

    

   A referência de comando do DDOS diz para usar o " d" em vez de "-t dsa." Qualquer um deles funcionará no DDOS, mas " d" não funciona em muitas distribuições Linux.

   Use a opção de frase secreta em branco para ignorar o requisito de senha do sistema Data Domain ao executar scripts.

   Anote o local da nova chave SSH em "ssh-keygen" saída do comando. Ele é armazenado no diretório $HOME do usuário abaixo .ssh/ como um arquivo chamado id_rsa.pub.

2. Adicione a chave gerada à lista de acesso dos sistemas Data Domain.

   # ssh -l sysadmin 168.192.2.3 "adminaccess add ssh-keys" < ~/.ssh/id_rsa.pub

   The authenticity of host '168.192.2.3(168.291.2.3)' can't be established. RSA key fingerprint is f6:36:6e:32:e1:2d:d9:77:40:7e:0e:f8:5f:32:8d:0a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '168.192.2.3' (RSA) to the list of known hosts. Data Domain OS 0.31.0.0-152384 Password: sysadmin_password

3. Testar funcionalidade.

   # ssh sysadmin@168.192.2.3 "df -h"
   
   Data Domain OS Resource Size GiB Used GiB Avail GiB Use% Cleanable GiB* ------------------ -------- -------- --------- ---- -------------- /backup: pre-comp - 50.0 - - - /backup: post-comp 4922.3 2.7 4919.7 0% 0.0 /ddvar 78.7 0.5 74.2 1% - ------------------ -------- -------- --------- ---- -------------- * Estimated based on last cleaning of 2010/02/02 06:00:59.

Você também pode passar um script inteiro de comandos do sistema em um arquivo para o dispositivo. Isso é feito executando um comando para apontar para o arquivo específico que contém a lista de comandos:

# ssh sysadmin@DDR < FULL_LOCAL_PATH_TO_SCRIPT_TO_RUN_ON_REMOTE_DD

Isso permite que um operador crie uma lista de comandos em um host remoto e, em seguida, execute-os todos de uma vez por meio de SSH.

Como configurar o sistema para fazer log-in sem usar uma senha: Sistemas Windows (PuTTY)

1. Instale as ferramentas SSH PuTTY: PuTTY, PuTTYgen e Pageant, no sistema Windows

2. Crie uma sessão PuTTY.

   1. Inicie o PuTTY, a ferramenta de configuração do PuTTY.
   2. Salve uma sessão com o endereço IP do sistema Data Domain.
      1. Na caixa de diálogo Configuração do PuTTY, selecione Sessão de categoria>.
      2. Selecione o botão SSH .
      3. Digite o endereço IP do sistema Data Domain no campo Nome do host e no campo Sessões salvas. Por exemplo: 168.192.2.3
      4. Clique em Save.
         

3. Digite o nome de usuário de login automático.

   1. Na caixa de diálogo PuTTY Configuration, selecione a Category>Connection>Data.
   2. Digite o nome de usuário do administrador no campo Auto-login username. Por exemplo:
      sysadmin
   3. Clique em Save.

4. Crie uma chave PuTTY.

   1. Inicie o PuTTYgen, a ferramenta Geradora de chaves PuTTY.
      
   2. Gere chaves públicas e privadas usando a ferramenta PuTTY Key Generator.
      1. Gere alguma aleatoriedade movendo o cursor sobre a área em branco no campo Key.
         A chave pública para colar no arquivo de authorized_keys OpenSSH é preenchida com caracteres aleatórios.
         O campo Key fingerprint é preenchido com valores de referência.
      2. Crie um identificador de chave no campo Key comment, digite um nome de chave de identificação, por exemplo:
         admin_name@company.com
      3. Deixe os campos Key passphrase e Confirm passphrase em branco.
         Use a opção de frase secreta em branco para ignorar o requisito de senha do sistema Data Domain ao executar scripts.
      4. Clique em Save public key.
      5. Clique em Save private key.
         Observe o caminho para o arquivo de chave salvo. Exemplo de nome de arquivo de chave:
         DataDomain_private_key.ppk
   3. Copie a chave PuTTY gerada aleatoriamente.
      Selecione todo o texto no campo Chave pública para colar no arquivo authorized_keys OpenSSH.
      

5. Adicione a chave na linha de comando do sistema Data Domain.

   1. Abra um prompt de comando do sistema Data Domain.
   2. Adicione a chave de acesso SSH administrativa. Na linha de comando, digite:

      adminaccess add ssh-keys

   3. Cole a chave gerada aleatoriamente do campo PuTTYgen. Use a opção Clique com o botão direito > do mouse na opção Colar.
   4. Conclua o comando e pressione CTRL+D.
      

6. Conecte a chave ao PuTTY.

   1. Na ferramenta Configuração do PuTTY, selecione Connection>SSH>Auth.
   2. Caixa de seleção Tentativa de autenticação usando Pageant.
   3. Caixa de seleção Attempt keyboard-interactive auth (SSH-2)
   4. No arquivo de chave privada do campo de autenticação, clique em Procurar.
   5. Navegue até a chave PuTTY gerada e salva na etapa 3. Por exemplo, DataDomain_private_key.ppk
   6. Salve as configurações e clique em Save.
      

7. Abra a sessão.

   1. Na caixa de diálogo Configuração do PuTTY, selecione Sessão de categoria>.
   2. Clique em Open.
      Uma linha de comando do Windows é aberta. A sessão PuTTY é aberta.
      Como usar o nome de usuário sysadmin Autenticação do sistema operacional Data Domain com chave pública

      admin_name@company.com 
      Last login: Thu Feb 4 10:51:10 EST 2010 from 168.192.2.3 on pts/2 
      Last login: Thu Feb 4 18:56:14 2010 from 168.192.2.3 
      Welcome to Data Domain OS 0.31.0.0-152384 ----------------------------------------- #