PowerScale: OneFS 9.4+ -päivityksen jälkeen SSH-asiakas ei muodosta yhteyttä klusteriin

Tietyt virheilmoitukset vaihtelevat suuresti tietyn kolmannen osapuolen SSH-työkalun mukaan. Tämä koskee esimerkiksi PuTTY- tai muita SSH-yhteystapoja, kuten WinSCP (Windows Secure Copy Protocol) -protokollaa tai muita ohjelmointifunktioita.

Erityinen vika on yleensä jokin muunnelma asioista, kuten, mutta ei rajoittuen:

• SSH:n yleinen algoritmi- tai salausvirhe.
• Ei voi neuvotella tai löytää haluttuja algoritmeja tai muuta salausta.

Tietyt virheet vaihtelevat myös kolmannen osapuolen ohjelmistoversioittain. Mahdollisten SSH-työkalujen laajuuden vuoksi Dell ei pidä luetteloa kaikista mahdollisista virheistä. 

Jos työkalut eivät muodosta yhteyttä SSH:hon sen jälkeen, kun 9.4-päivitys on vahvistettu valmiiksi, helpoin tapa testata on ladata SSH-perustyökalun, kuten PuTTY:n, uusin versio tai käyttää olemassa olevaa SSH-päätetoimintoa, jos sellainen on käyttöjärjestelmässäsi, kuten Windows, macOS, Linux tai UNIX (jos käytät käyttöjärjestelmätason komentorivityökaluja, Varmista , että ne ovat myös ajan tasalla ja päivitettyjä oikein).

Jos uusin ja paras työkalu pystyy muodostamaan yhteyden SSH:hon onnistuneesti, mutta vanhemmat tai vielä päivittämättömät työkalut eivät voi muodostaa yhteyttä tällaisten virheiden vuoksi, tämä ongelma vaikuttaa sinuun.

Teknisen tuen vahvistusta ongelmasta ei voi saada toimittamatta asiakaspuolen lokeja paikallisista järjestelmistä tarkistusta varten. 

Jos työkalussa ei näy selkeitä virheitä ja työkalu on kaupalliselta toimittajalta etkä ole varma, miten tai mistä saat SSH-pohjaiset lokit kyseiseltä työkalulta, Dell ei säilytä tukitietoja tällaisista kolmannen osapuolen toimittajista. Ota yhteyttä suoraan myyjään, jos haluat apua tällaisten asiakaspuolen lokien löytämiseen. Jos kyseessä on yrityksen tai organisaation sisäinen työkalu tai vastaavalla tavalla omistettu, sinun on otettava kyseinen tiimi mukaan puolellesi.

Tähän on yksinkertainen syy. Parhaiden käytäntöjen mukaisesti tarkista aina julkaisutiedot alusta loppuun sidosryhmien kanssa, jotka työskentelevät tallennusratkaisun parissa ja ylläpitävät sitä, ennen päivitystä, jos sinun on muutettava paikallisia järjestelmiä saapuvien muutosten vuoksi.

Tarkat tiedot ovat OneFS 9.4:n OneFS-/Isilon-julkaisutiedoissa:

• OneFS 9.4.0.0 -oppaat – PowerScale-tietokeskus 
• OneFS 9.4:n julkaisutiedot

9.4-julkaisutietojen sivuilla 4-5 käsitellään aihetta.

Tietyt vähemmän turvalliset tai epävarmat salausalgoritmit poistettiin käytöstä ja poistettiin tuotteestamme. Vanhentuneet kolmannen osapuolen SSH-työasematyökalut eivät välttämättä muodosta yhteyttä ennen päivitystä. Tämä johtuu siitä, että vanhemmat SSH-asiakastyökalut yrittävät käyttää SSH-palvelua OneFS-puolella ja yrittää neuvotella algoritmeja, joita ei enää ole.

Tämä epäonnistuu aina, koska toinen puoli (asiakaspuoli) yrittää käyttää jotain, joka ei ole enää käytettävissä (tallennusklusterin puolella). 

Tämä asiakaspuolen SSH-yhteyden muodostamisen epäonnistuminen tapahtuu, jos asiakastyökalu yrittää muodostaa yhteyden mihin tahansa SSH-verkkopalvelimeen, jos kohdejärjestelmässä ei ole haluamiaan algoritmeja. Ajan myötä, jos SSH-asiakastyökalujasi ei päivitetä rutiininomaisesti, et lopulta pysty muodostamaan yhteyttä useampaan järjestelmään, koska nämä järjestelmät päivittävät myös tietoturvansa. Helpoin korjaus jatkuvasti on pitää SSH-asiakastyökalut aina ajan tasalla.

Tällaiset säännölliset tietoturvaparannukset ovat vakiona lähes kaikissa niihin liittyvissä tekniikoissa koko toimialalla vastauksena jatkuviin tietoturvatarkastuksiin ja haasteisiin. 

Aiemmassa PowerScale-salauspäivityksessä, joka edellytti asiakaspuolen työkalujen säätöjä, oli kyse eri algoritmeista. Se kuvattiin yksityiskohtaisesti PowerScalessa: SSH-avaimenvaihtoalgoritmi on merkitty tietoturvan haavoittuvuusskannereilla: diffie-hellman-group1-sha1. 

Päivitä SSH-työasematyökalut:

Suositeltu ratkaisu on päivittää ongelmalliset SSH-asiakastyökalut vastaamaan kohdeisäntäpuolen (PowerScale-klusterin) tarkistettuja salausalgoritmivaatimuksia. Tämä on turvallisin vaihtoehto turvallisuutesi kannalta.

Jos olet vahvistanut työkalusarjan päivityksen, mutta se ei vieläkään muodosta yhteyttä, testaa sama SSH-yhteys verkossasi ensin suosituksen mukaisesti toisella modernilla, uusimman version kolmannen osapuolen työkalulla, kuten PuTTY:llä (vaikka sinun täytyisi tehdä tämä testi uudelleen), ennen kuin otat yhteyttä PowerScale-tukeen. Vertailu on tärkeää vianmäärityksen kannalta.

Sinun on myös hankittava täydelliset muokkaamattomat SSH-asiakaslokit, joissa näkyvät viat sekä tarjotut ja käytettävissä olevat algoritmit. Tuen on tiedettävä, mitä molemmat osapuolet viestivät toisilleen kokonaisuudessaan.

Jos työkalussa ei ole selviä virheitä ja se on kaupalliselta myyjältä etkä ole varma, miten tai mistä saat SSH-aiheisia lokeja kyseisestä työkalusta, Dell ei säilytä tukitietoja tällaisista kolmannen osapuolen toimittajista. Niitä on liian paljon, jotta voisimme seurata niitä. Ota tarvittaessa yhteyttä suoraan myyjään tai IT-henkilökuntaan, jos tarvitset apua tällaisten asiakaspuolen lokien löytämisessä. Jos kyseessä on yrityksen tai organisaation sisäinen työkalu tai vastaavalla tavalla omistusoikeudellinen, sinun on todennäköisesti otettava kyseinen tiimi mukaan puolellesi.

Jos henkilökunta tai toimittaja ei tällä hetkellä pysty päivittämään työkalujasi:

Jos tekninen henkilöstö ei pysty tähän, sinulla on tekninen mahdollisuus muokata itse asiaankuuluvia SSH-määrityksiä PowerScale OneFS -puolella vanhentuneiden, vähemmän turvallisten tai ongelmallisten algoritmien "ottamiseksi uudelleen käyttöön". Tarkista 9.4-julkaisutiedot, joille algoritmi ei ole enää käytettävissä ja joita asiakastyökalu ei löydä ja joita se odottaa.

Samojen menetelmien käyttäminen PowerScalessa kuvattujen menetelmien avulla: Tietoturvan haavoittuvuusskannerit merkitsevät SSH-avaimenvaihtoalgoritmin: diffie-hellman-group1-sha1 Voit muokata OneFS-asetuksia niin, että vanhentunut SSH-asiakasohjelmisto mahtuu OneFS:ään. 

Tätä vaihtoehtoista lähestymistapaa ei suositella paitsi tilanteissa, kuten aikarajoitetuissa hätätilanteissa, joissa vakiintunut työnkulku edellyttää välitöntä yhteyttä tiettyyn työkaluun ja että SSH-asiakasjärjestelmäsi päivitetään edelleen mahdollisimman pian oman turvallisuutesi vuoksi. Jos käytät tätä lähestymistapaa päästäksesi sisään nyt, sinua kehotetaan palaamaan järjestelmään, kun SSH-asiakastyökalut on korjattu ja päivitetty, jotta heikommat algoritmit poistetaan käytöstä. 

Dellin tukihenkilöstö ei voi heikentää tällaisen PowerScale-klusterin suojausprofiilia tai auttaa siinä itse. PowerScale-klustereita hallinnoivan tallennuksen hallintahenkilöstön on suoritettava tällaiset säädöt. Dell-tuki ei voi myöskään auttaa paikallisten tietokoneiden ja palvelimien kolmannen osapuolen SSH-työasemien päivityksissä, kuten PuTTY:ssä, WinSCP:ssä, käyttöjärjestelmän päätetyyppisissä työkaluissa tai kolmannen osapuolen valmistajien ohjelmistoissa tai vastaavissa toiminnoissa.

Perimmäinen suositeltava toimintatapa pitkän aikavälin tietoturvan kannalta on, että henkilökuntasi päivittää SSH-asiakastyökalusi vastaamaan tarkistettuja nykyaikaisia SSH-algoritmiohjeita.

• PowerScale OneFS -tietokeskukset
• Nykyiset PowerScale OneFS -korjaukset
• Isilon: PowerScale: OneFS: Suorituskykyongelmien vianmääritys