PowerScale：OneFS 9.4+のアップグレード後、SSHクライアントがクラスターに接続されない

表示される具体的なエラー メッセージは、サード パーティー製SSHツールによって大きく異なります。たとえば、PuTTYや、Windows Secure Copy Protocol (WinSCP)、その他のプログラミング機能など、その他のSSH接続方法です。

特定の障害は、通常、次のようなバリエーションですが、これらに限定されません。

• SSHの一般的なアルゴリズムまたは暗号化エラー。
• 必要なアルゴリズムやその他の暗号化をネゴシエートまたは見つけることができません。

特定のエラーは、サード パーティー製ソフトウェアのバージョンによっても異なります。SSHツールは数が多いため、Dellでは考えられるすべてのエラーのリストを保持していません。

9.4のアップグレードが完了した後にツールがSSHに接続できない場合、テストする最も簡単な方法は、PuTTYなどの基本的なSSHツールの最新バージョンをダウンロードするか、Windows、macOS、Linux、UNIXなどのオペレーティングシステムに既存のSSHターミナル機能(OSレベルのCLIツールを使用する場合は、 それら も最新であり、適切に更新されていることを確認してください)。

「最新かつ優れた」ツールがSSHに正常に接続できても、古いツールやまだ更新されていないツールがこのようなエラーのために接続できない場合、この問題はユーザーに影響を与えています。

テクニカル サポートによる確認は、ローカル システムからのクライアント側のログをレビュー用に提供せずには取得できません。

ツールに明確なエラーが表示されず、商用ベンダーからのものであり、そのツールからSSH関連のログを取得する方法や場所がわからない場合、Dellはそのようなサードパーティベンダーのサポートデータを保持しません。このようなクライアント側のログを見つけるには、ベンダーに直接お問い合わせください。社内のツールや組織のツール、または同様の専有ツールの場合は、そのチームを味方につける必要があります。

これには単純な原因があります。インバウンドの変更のためにダウンストリームのローカル システムを調整する必要がある場合は、ベスト プラクティスとして、アップグレード前にストレージ ソリューションの作業と保守に関わる関係者とエンドツーエンドのリリース ノートを必ず確認してください。

具体的な詳細については、OneFS/IsilonのOneFS 9.4リリース ノートを参照してください。

• OneFS 9.4.0.0のマニュアル - PowerScaleに関する情報ハブ 
• OneFS 9.4リリース ノート

このトピックについては、『9.4 Release Notes』の4-5ページに記載されています。

安全性の低い、または安全でない特定の暗号化アルゴリズムは廃止され、製品から削除されました。古いサード パーティー製SSHクライアント ツールは、アップデートされるまで接続できない場合があります。これは、古いSSHクライアント ツールがOneFS側でSSHサービスと連携しようとし、存在しなくなったアルゴリズムをネゴシエートしようとするためです。

これは常に失敗します。一方の側(クライアント側)が(ストレージ クラスター側で)使用できなくなったものを使用しようとするためです。

このクライアント側のSSHによる接続の失敗は、クライアント ツールがSSH用のネットワーク ホストに接続しようとしたときに、そのターゲット システムに使用したいアルゴリズムがない場合に発生します。時間が経つにつれて、SSH クライアント ツールが定期的に更新されないと、それらのシステムのセキュリティも更新されるため、最終的により多くのシステムに接続できなくなります。継続的に行う最も簡単な修復は、SSHクライアント ツールを常に最新の状態に保つことです。

このような定期的なセキュリティ強化は、継続的なセキュリティレビューと課題に対応するために、業界全体のほぼすべての関連テクノロジーで標準となっています。

クライアント側ツールの調整を必要とするPowerScale暗号化のアップグレードの以前のインシデントには、さまざまなアルゴリズムが関与しており、詳細については『PowerScale: SSHキー交換アルゴリズムは、セキュリティ脆弱性スキャナー(diffie-hellman-group1-sha1)によってフラグ付けされています。 

SSHクライアントツールをアップグレードします。

推奨されるソリューションは、問題のあるSSHクライアント ツールをアップデートして、ターゲット ホスト側(PowerScaleクラスター)で変更された暗号化アルゴリズム要件に対応することです。これは、セキュリティにとって最も安全なオプションです。

ツールセットのアップグレードを検証しても接続できない場合は、PowerScaleサポートに連絡する前に、PuTTYなどの別の最新の最新バージョンのサード パーティー製ツールを使用して(このテストを再度実行する場合でも)、推奨されているように、まず同じSSH接続をネットワーク上でテストしてください。この比較を行うことは、トラブルシューティングを行う上で重要です。

また、障害と提供されている使用可能なアルゴリズムを示す、完全に編集されていないSSHクライアント ログを取得する必要があります。サポートは、双方が相互に何を伝えているかを完全に把握している必要があります。

ツールに明確なエラーが表示されず、商用ベンダーからのものであり、そのツールからSSH関連のログを取得する方法と場所がわからない場合、Dellはそのようなサードパーティベンダーのサポートデータを保持しません。数が多すぎるため、追跡できません。必要に応じて、ベンダーまたはITスタッフに直接問い合わせて、このような「クライアント側」のログを見つけてください。社内の企業や組織のツール、または同様のプロプライエタリなツールの場合は、そのチームを味方につける必要があります。

現在、スタッフまたはベンダーがツールをアップデートできない場合は、次の手順を実行します。

技術スタッフがこれを実行できない場合は、PowerScale OneFS側で関連するSSH構成を自分で変更して、古いアルゴリズム、安全性の低いアルゴリズム、または問題のあるアルゴリズムを「再度有効」にすることができます。『9.4 Release Notes』で、クライアント ツールで検出できない、および予想されるアルゴリズムが使用できなくなっているものを確認します。

PowerScaleで詳しく説明されているのと同じ方法を使用します 。SSHキー交換アルゴリズムにセキュリティ脆弱性スキャナーによってフラグが付けられています:diffie-hellman-group1-sha1 OneFS設定を変更して、OneFSが古いSSHクライアント ソフトウェアに対応するようにすることができます。

この代替アプローチは、確立されたワークフローに特定の特定のツールへの即時接続が必要であり、SSHクライアントシステムを安全のためにできるだけ早く更新する必要がある、時間制限のある緊急事態などの状況を除き、お勧めしません。このアプローチを「今すぐ入る」ために使用する場合は、SSH クライアントツールが修復およびアップグレードされた後にシステムに戻り、有効にした脆弱なアルゴリズムを無効にすることをお勧めします。

Dellサポート スタッフは、このようなPowerScaleクラスターのセキュリティ プロファイルを弱めたり、自分たちで支援したりすることはできません。このような調整は、PowerScaleクラスターを管理するストレージ管理スタッフが実行する必要があります。また、Dellサポートでは、PuTTY、WinSCP、ネイティブ オペレーティング システム ターミナル タイプのツール、サード パーティー ベンダーのソフトウェア、同様の機能など、ローカル コンピューターおよびサーバーにあるサード パーティー製クライアントSSHツールのアップデートをサポートすることはできません。

長期的なセキュリティのために推奨される最終的な行動方針は、スタッフが改訂された最新の SSH アルゴリズム ガイダンスに準拠するように SSH クライアント ツールを更新することです。

• PowerScale OneFS情報ハブ
• PowerScale OneFSの現在のパッチ
• Isilon：PowerScale：OneFS：パフォーマンスに関する問題のトラブルシューティング