PowerScale: OneFS: SMB1:n ottaminen käyttöön tai poistaminen käytöstä klusterissa

Tietoturvasyistä Dell Technologies ei suosittele SMBv1-protokollamurteen käyttöönottoa OneFS:ssä. Pitkän aikavälin yhteensopivuuden varmistamiseksi harkitse siirtymistä pois tästä protokollasta.

Huomautus: Microsoft ei enää tue SMBv1:tä. Microsoft suosittelee, että SMBv1-murretta käyttävät työnkulut siirretään käyttämään SMBv2:ta tai uudempaa. SMB-murteen uudemmat tuetut versiot on suunniteltu parantamaan tietoturvaa ja suorituskykyä. Katso tästä linkistä lisätietoja siitä, miksi sinun pitäisi siirtyä pois SMBv1-murteesta työnkuluissa. SMBv1: n käyttöä ei suositella tilanteissa, joissa murteen korkeammat versiot ovat käytettävissä.

Voit tarkistaa, onko SMB1-protokollan tuki käytössä, muodostamalla SSH-yhteys solmuun ja suorittamalla seuraavan komennon:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1

Jos ilmoitettu arvo on nolla, se poistetaan käytöstä. Jos ilmoitettu arvo on yksi, se on käytössä.
 

SMBv1-tuen poistaminen käytöstä:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=0

SMBv1-tuen ottaminen käyttöön:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

SRV-palvelu on päivitettävä (tai käynnistettävä uudelleen) klusterissa, jotta SMBv1-tuettavuuden muutokset voidaan toteuttaa.

SMB1-protokollan tuen poistaminen käytöstä estää uusien SMB1-yhteyksien muodostamisen. Olemassa olevia SMB1-yhteyksiä ei katkaista, vaikka ominaisuus olisi poistettu käytöstä.

Varoitus:
SRV-palvelun uudelleenkäynnistys solmussa voi aiheuttaa kaikkien solmuun johtavien SMB-yhteyksien katkeamisen. Jos SMB-työasemayhteydet toiseen solmuun eivät katkea, asiakkaiden on muodostettava yhteys klusteriin uudelleen. Jos LWIO käynnistetään uudelleen, kaikki SMB-yhteydet lopetetaan ja asiakkaan on muodostettava yhteydet uudelleen.

SRV:n pakotettu päivitys voidaan tehdä yhdessä solmussa muodostamalla yhteys SSH:n kautta ja toimimalla seuraavasti:

/usr/likewise/bin/lwsm refresh srv

Harvoissa tapauksissa SRV-palvelu on käynnistettävä uudelleen. Tee seuraava:

/usr/likewise/bin/lwsm restart srv

Järjestelmänvalvojat voivat käyttää komentoja "isi_for_array -sX" ennen komentoja SRV:n päivittämiseen tai uudelleenkäynnistämiseen koko klusterissa. Varmista, että sisäkkäinen komento on lainausmerkeissä. Vaikka SRV:n päivityksellä ei ole vaikutusta, sen uudelleenkäynnistäminen voi tapahtua. Suunnittele nämä toimet huoltoikkunassa asiakkaille aiheutuvien häiriöiden lieventämiseksi. Jos järjestelmänvalvoja havaitsee ongelmia näissä toiminnoissa, on suositeltavaa pyytää lisäapua tuelta.

OneFS 9.6:sta alkaen SMBv1-protokolla on oletusarvoisesti poissa käytöstä. Microsoft on lopettanut protokollan tuen, ja siihen liittyy lukuisia tietoturvaongelmia, jotka on ratkaistu uudemmissa murteissa. SMBv1:tä käyttävän klusterin työnkulku keskeytyy päivityksen jälkeen. Järjestelmänvalvojat voivat välttää tämän ottamalla SMBv1:n käyttöön manuaalisesti sen sijaan, että luottaisivat pelkästään vanhempiin oletusmäärityksiin. Kun SMBv1 otetaan käyttöön, asetus merkitään "ei periytyä oletusarvoista", mikä varmistaa, että määrityksen kyseiseen osaan ei tehdä muutoksia päivityksen jälkeen.

Voit varmistaa, että arvo on otettu käyttöön manuaalisesti OneFS 9.5:ssä ja aiemmissa, ottamalla SMBv1:n käyttöön manuaalisesti gconfig:n kautta edellisten ohjeiden mukaisesti. Järjestelmänvalvojien tulisi tehdä tämä huoltoikkunassa minimoidakseen SMBv1-asiakkaille aiheutuvat häiriöt. Seuraava komento SMBv1:n ottamiseksi käyttöön gconfig-versiossa OneFS 9.5 ja aiemmissa on seuraava:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Muista varmistaa, että arvo ilmoittaa arvon 1 takaisin. Järjestelmänvalvojat voivat poistaa SMBv1-tuen käytöstä vahvistaakseen arvonmuutosten voimaantulon. Jos SMBv1:tä aiotaan käyttää ennen päivitystä sen käyttöönoton jälkeen, SRV on päivitettävä tai käynnistettävä uudelleen kaikissa solmuissa. Tämä vaikuttaa asiakkaisiin, jotka käyttävät SMB-protokollaa riippumatta siitä, mitä murretta käytetään.

Jos järjestelmänvalvojat unohtavat nimenomaisesti ottaa SMBv1:n käyttöön klusterikokoonpanossa ennen päivitystä, päivitys varmistaa, että se on poistettu käytöstä. Ota SMBv1-tuki käyttöön uudelleen päivityksen jälkeen alla olevalla komennolla.

isi smb settings global modify --support-smb1=true

Tämä saattaa edellyttää palvelujen pakotettua päivitystä tai uudelleenkäynnistystä, jotta muutokset tulevat voimaan. Suosittelemme, että klusterin kokoonpanoon tehdään merkittäviä muutoksia ylläpitotoimien aikana, jotta vaikutus on mahdollisimman pieni. Järjestelmänvalvojien tulisi alkaa suunnitella SMBv1:n täyttä käytöstä poistamista ympäristössään, elleivät he ole vielä tehneet niin.