PowerScale : Après la mise à niveau de OneFS 9.4+, le client SSH ne se connecte pas au cluster

Les messages d’erreur spécifiques affichés varient considérablement en fonction de l’outil SSH tiers spécifique. Par exemple, PuTTY ou d’autres méthodes de connexion SSH telles que Windows Secure Copy Protocol (WinSCP) ou d’autres fonctions de programmation.

La défaillance spécifique est généralement une variante de choses comme, mais sans s’y limiter :

• Algorithme générique ou erreur cryptographique pour SSH.
• Impossible de négocier ou de trouver les algorithmes souhaités ou tout autre chiffrement souhaité.

Les erreurs spécifiques varient également selon les versions de logiciels tiers. En raison de l’étendue des outils SSH possibles, Dell ne conserve pas de liste de toutes les erreurs possibles. 

Si vos outils ne parviennent pas à se connecter à SSH après la confirmation de la fin de la mise à niveau vers la version 9.4, le moyen le plus simple de les tester consiste à télécharger la dernière version d’un outil SSH de base, tel que PuTTY, ou à utiliser la fonctionnalité de terminal SSH existante, si elle est présente sur votre système d’exploitation, tel que Windows, macOS, Linux ou UNIX (si vous utilisez des outils CLI au niveau du système d’exploitation, s’assurer qu’ils sont également à jour et mis à jour correctement).

Si votre outil le plus récent et le plus performant peut se connecter à SSH avec succès, mais que vos outils plus anciens ou pas encore mis à jour ne peuvent pas se connecter en raison de telles erreurs, ce problème vous affecte.

Il est impossible d’obtenir la confirmation du support technique que vous êtes concerné sans fournir les journaux côté client de vos systèmes locaux pour examen. 

Si votre outil ne présente pas d’erreurs évidentes et provient d’un fournisseur commercial, et que vous ne savez pas comment ni où obtenir les journaux liés à SSH à partir de cet outil, Dell ne conserve pas les données de support de ces fournisseurs tiers. Contactez directement votre fournisseur pour obtenir de l’aide pour trouver ces journaux côté client. S’il s’agit d’un outil interne à l’entreprise ou à l’organisation, ou d’un outil propriétaire similaire, vous devez impliquer cette équipe de votre côté.

La cause est simple. Comme le veut la pratique d’excellence, passez toujours en revue les notes de mise à jour de bout en bout avec les parties prenantes qui travaillent sur votre solution de stockage et en assurent la maintenance avant la mise à niveau, si vous devez ajuster des systèmes locaux en aval en raison de modifications entrantes.

Vous trouverez ici des détails spécifiques dans les notes de mise à jour de OneFS 9.4 pour OneFS/Isilon :

• Documentation OneFS 9.4.0.0 - Hub d'informations PowerScale 
• Notes de mise à jour de OneFS 9.4

Les pages 4 à 5 des notes de mise à jour de la version 9.4 traitent de ce sujet.

Certains algorithmes cryptographiques moins sécurisés ou non sécurisés ont été dépréciés et supprimés de notre produit. Les outils clients SSH tiers obsolètes peuvent ne pas parvenir à se connecter avant la mise à jour. Cela est dû au fait que les anciens outils du client SSH tentent d’engager le service SSH du côté OneFS et tentent de négocier des algorithmes qui ne sont plus présents.

Cela échoue toujours, car un côté (côté client) essaie d’utiliser quelque chose qui n’est plus disponible (côté cluster de stockage). 

Cet échec de connexion côté client par SSH se produirait si cet outil client tentait de se connecter à un hôte réseau pour SSH, si ce système cible ne dispose pas des algorithmes qu’il souhaite utiliser. Au fil du temps, si vos outils client SSH ne sont pas régulièrement mis à jour, vous ne parvenez finalement pas à vous connecter à d’autres systèmes, car ces systèmes mettent également à jour leur sécurité. La mesure corrective la plus simple et continue consiste à toujours maintenir les outils du client SSH à jour.

Des améliorations de sécurité périodiques comme celle-ci sont proposées en standard sur pratiquement toutes les technologies associées à l’échelle du secteur en réponse aux vérifications et aux défis de sécurité continus. 

Un précédent incident de mises à niveau du chiffrement PowerScale nécessitant des ajustements des outils côté client impliquait différents algorithmes et a été détaillé dans PowerScale : L’algorithme d’échange de clés SSH est signalé par les analyseurs de failles de sécurité : diffie-hellman-group1-sha1. 

Mettez à niveau les outils de votre client SSH :

La solution recommandée consiste à mettre à jour tous les outils clients SSH problématiques pour prendre en charge les exigences révisées en matière d’algorithmes cryptographiques du côté hôte cible (cluster PowerScale). C’est l’option la plus sûre pour votre sécurité.

Si vous avez validé la mise à niveau de votre ensemble d’outils et que la connexion échoue, testez d’abord cette même connexion SSH sur votre réseau, comme recommandé avec un autre outil tiers moderne et de dernière génération, tel que PuTTY (même si vous devez refaire ce test) avant de contacter le support PowerScale. Il est important d’avoir cette comparaison pour le dépannage.

Vous devez également obtenir les journaux complets non expurgés du client SSH indiquant les échecs et les algorithmes proposés et disponibles. Le support doit savoir ce que les deux parties communiquent l’une à l’autre dans son intégralité.

Si votre outil ne présente pas d’erreurs évidentes et provient d’un fournisseur commercial, et que vous ne savez pas comment ni où obtenir les journaux SSH à partir de cet outil, Dell ne conserve pas les données de support de ces fournisseurs tiers. Il y en a trop pour que nous puissions les suivre. Contactez directement votre fournisseur ou votre personnel informatique pour obtenir de l’aide afin de trouver ces journaux « côté client », si nécessaire. S’il s’agit d’un outil interne à l’entreprise ou à l’organisation, ou d’un outil propriétaire similaire, vous devrez probablement impliquer cette équipe de votre côté.

Si votre personnel ou fournisseur n’est actuellement pas en mesure de mettre à jour vos outils :

Si votre personnel technique n’est pas en mesure de le faire, il vous est possible de modifier vous-même les configurations SSH pertinentes du côté PowerScale OneFS pour « réactiver » les algorithmes obsolètes, moins sécurisés ou problématiques. Consultez les notes de mise à jour de la version 9.4 pour lesquelles l’algorithme n’est plus disponible et que votre outil client n’est pas en mesure de trouver et attend.

À l’aide des mêmes méthodes détaillées dans PowerScale : L’algorithme d’échange de clés SSH est signalé par les analyseurs de failles de sécurité : diffie-hellman-group1-sha1 vous pouvez modifier les paramètres OneFS pour que OneFS prenne en charge les logiciels clients SSH obsolètes. 

Cette approche alternative n’est pas recommandée, sauf dans des situations telles que des urgences limitées dans le temps où une connexion immédiate à un outil donné spécifique est nécessaire pour un flux de travail établi, et que vos systèmes clients SSH doivent être mis à jour dès que possible pour votre propre sécurité. Si vous utilisez cette approche pour « accéder maintenant », nous vous encourageons à revenir dans le système une fois que vos outils client SSH ont été réparés et mis à niveau, afin de désactiver les algorithmes plus faibles que vous avez activés. 

Le personnel de support Dell ne peut pas affaiblir le profil de sécurité d’un cluster PowerScale de cette manière, ni apporter son aide lui-même. Ces ajustements doivent être exécutés par le personnel d’administration du stockage qui gère vos clusters PowerScale. Le support Dell n’est pas non plus en mesure de prendre en charge les mises à jour des outils SSH des clients tiers sur vos ordinateurs et serveurs locaux, tels que PuTTY, WinSCP, les outils natifs de type terminal du système d’exploitation ou tout logiciel de fournisseur tiers ou fonctionnalité similaire.

Le plan d’action recommandé pour votre sécurité à long terme est que votre personnel mette à jour les outils de votre client SSH pour se conformer aux directives révisées de l’algorithme SSH moderne.

• Hubs d’informations PowerScale OneFS
• Correctifs actuels PowerScale OneFS
• Isilon : PowerScale : OneFS : Résolution des problèmes de performances