PowerScale: Після оновлення OneFS 9.4+ SSH-клієнт не підключається до кластера

Конкретні повідомлення про помилки, які відображаються, сильно різняться залежно від конкретного стороннього інструмента SSH. Наприклад, PuTTY або інші методи підключення SSH, такі як Windows Secure Copy Protocol (WinSCP) або інші функції програмування.

Конкретна невдача, як правило, є певною варіацією таких речей, як, але не обмежуючись ними:

• Загальний алгоритм або криптографічна помилка для SSH.
• Не може домовитися або знайти розшукувані алгоритми чи іншу криптографію.

Конкретні помилки також різняться залежно від версії програмного забезпечення сторонніх виробників. У зв'язку з масштабом можливих інструментів SSH, Dell не веде список всіх можливих помилок. 

Якщо вашим інструментам не вдається підключитися до SSH після того, як оновлення 9.4 підтверджено як завершене, найпростішим способом тестування є завантаження останньої версії базового інструменту SSH, наприклад PuTTY, або використання наявних функцій терміналу SSH, якщо вони присутні у вашій операційній системі, наприклад Windows, macOS, Linux або UNIX (Якщо ви використовуєте інструменти CLI на рівні ОС, переконайтеся , що вони також актуальні та належним чином оновлені).

Якщо ваш «найновіший і найкращий» інструмент може успішно підключитися до SSH, але ваші старіші або ще не оновлені інструменти не можуть підключитися через подібні помилки, ця проблема стосується вас.

Підтвердження служби технічної підтримки про те, що ця проблема стосується вас, неможливо отримати, не надавши журнали на стороні клієнта з ваших локальних систем для перевірки. 

Якщо ваш інструмент не містить явних помилок і надійшов від комерційного постачальника, і ви не знаєте, як і де отримати журнали, пов'язані з SSH, з цього інструмента, Dell не зберігає дані підтримки таких сторонніх постачальників. Зверніться безпосередньо до свого постачальника за допомогою, щоб знайти такі журнали на стороні клієнта. Якщо це внутрішній корпоративний або організаційний інструмент, або аналогічний пропрієтарний, ви повинні залучити цю команду на свій бік.

Причина цього проста. Згідно з найкращою практикою, завжди переглядайте примітки до випуску від початку до кінця, щоб зацікавлені сторони працювали над вашим рішенням для зберігання даних і підтримували його, перш ніж оновлюватися, якщо вам потрібно скоригувати будь-які локальні системи через вхідні зміни.

Конкретні подробиці можна знайти в примітках до випуску OneFS 9.4 для OneFS/Isilon:

• Документація OneFS 9.4.0.0 - PowerScale Info Hub 
• Примітки до випуску OneFS 9.4

Сторінки 4-5 приміток до випуску 9.4 присвячені цій темі.

Деякі менш безпечні або небезпечні криптографічні алгоритми було вилучено з нашого продукту. Застарілі сторонні інструменти SSH-клієнта можуть не підключатися до оновлення. Це пов'язано зі старими клієнтськими інструментами SSH, які намагаються залучити службу SSH на стороні OneFS і намагаються домовитися про алгоритми, яких більше немає.

Це завжди не вдається, оскільки одна сторона (клієнтська сторона) намагається використовувати щось, що більше не доступне (на стороні кластера зберігання). 

Ця помилка з'єднання на стороні клієнта за допомогою SSH станеться, якщо клієнтський інструмент спробує з'єднатися з будь-яким вузлом мережі для SSH, якщо ця цільова система не має алгоритмів, які вона хоче використовувати. З часом, якщо ваші клієнтські інструменти SSH не оновлюються регулярно, ви зрештою не зможете підключитися до більшої кількості систем, оскільки ці системи також оновлюють свою безпеку. Найпростіше виправити ситуацію на постійній основі — завжди оновлювати інструменти клієнта SSH.

Такі періодичні вдосконалення безпеки є стандартними практично для всіх пов'язаних технологій у всій галузі у відповідь на поточні перевірки безпеки та виклики. 

Попередній інцидент з оновленнями криптографії PowerScale, які вимагали коригування інструментів на стороні клієнта, включав різні алгоритми і був детально описаний в PowerScale: Алгоритм обміну ключами SSH позначається сканерами вразливостей безпеки: diffie-hellman-group1-sha1. 

Оновіть інструменти SSH-клієнта:

Рекомендованим рішенням є оновлення будь-яких проблемних клієнтських інструментів SSH, щоб вони відповідали переглянутим вимогам криптографічного алгоритму на стороні цільового хоста (кластера PowerScale). Це найбезпечніший варіант для вашої безпеки.

Якщо ви підтвердили оновлення набору інструментів, але він все одно не підключається, обов'язково спочатку перевірте те саме SSH-з'єднання у вашій мережі, як рекомендовано за допомогою іншого сучасного стороннього інструменту останньої версії, такого як PuTTY (навіть якщо вам доведеться виконати цей тест ще раз), перш ніж звертатися до служби підтримки PowerScale. Таке порівняння важливе для усунення несправностей.

Ви також повинні отримати повні невідредаговані журнали клієнтів SSH, що показують збої та будь-які запропоновані та доступні алгоритми. Підтримка повинна знати, що обидві сторони повідомляють один одному в повному обсязі.

Якщо ваш інструмент не містить чітких помилок і надійшов від комерційного постачальника, і ви не знаєте, як або де отримати журнали, пов'язані з SSH, за допомогою цього інструменту, Dell не зберігає дані підтримки про таких сторонніх постачальників, їх занадто багато, щоб ми могли їх відстежити. Зв'яжіться безпосередньо зі своїм постачальником або ІТ-персоналом, щоб отримати допомогу в пошуку таких журналів на стороні клієнта, якщо це необхідно. Якщо це внутрішній корпоративний або організаційний інструмент, або аналогічний пропрієтарний, вам, швидше за все, доведеться залучити цю команду на свій бік.

Якщо ваш персонал або постачальник наразі не може оновити ваші інструменти:

Якщо ваш технічний персонал не в змозі це зробити, у вас існує технічна можливість самостійно змінити відповідні конфігурації SSH на стороні PowerScale OneFS, щоб «увімкнути» застарілі, менш безпечні або проблемні алгоритми. Перегляньте нотатки щодо випуску 9.4, для яких алгоритм більше не доступний, який ваш клієнтський інструмент не може знайти та очікує.

Використання тих самих методів, описаних у PowerScale: Алгоритм обміну ключами SSH позначається сканерами вразливостей безпеки: diffie-hellman-group1-sha1 ви можете змінити налаштування OneFS, щоб OneFS вміщувала застаріле клієнтське програмне забезпечення SSH. 

Цей альтернативний підхід не рекомендується, за винятком таких ситуацій, як обмежені в часі надзвичайні ситуації, коли для встановленого робочого процесу потрібне негайне підключення конкретного інструменту, і щоб клієнтські системи SSH все одно оновлювалися якомога швидше для вашої власної безпеки. Якщо ви скористаєтеся цим підходом для того, щоб «увійти зараз», вам буде запропоновано повернутися до системи після того, як ваші інструменти клієнта SSH будуть відремонтовані та оновлені, щоб вимкнути слабші алгоритми, які ви увімкнули. 

Співробітники служби підтримки Dell не можуть послабити профіль безпеки такого кластера PowerScale або допомогти з цим самостійно. Такі налаштування повинні виконуватися вашим персоналом адміністратора сховища, який керує вашими кластерами PowerScale. Служба підтримки Dell також не може допомогти з будь-якими оновленнями сторонніх клієнтських інструментів SSH на ваших локальних комп'ютерах і серверах, таких як PuTTY, WinSCP, нативних інструментів термінального типу операційної системи або будь-якого програмного забезпечення сторонніх постачальників або подібних функцій.

Остаточний рекомендований план дій для вашої довгострокової безпеки полягає в тому, щоб ваш персонал оновив клієнтські інструменти SSH відповідно до переглянутих сучасних інструкцій щодо алгоритмів SSH.

• Інформаційні центри PowerScale OneFS
• Поточні патчі PowerScale OneFS
• Ісілон: PowerScale: OneFS: Виправлення неполадок із продуктивністю