PowerScale: Po upgradu systému OneFS 9.4+ se klient SSH nepřipojí ke clusteru

Konkrétní zobrazené chybové zprávy se značně liší v závislosti na konkrétním nástroji SSH třetí strany. Například PuTTY nebo jiné metody připojení SSH, jako je protokol Windows Secure Copy Protocol (WinSCP) nebo jiné programovací funkce.

Konkrétní porucha je obvykle nějaká variace věcí, jako jsou mimo jiné:

• Obecný algoritmus nebo kryptografická chyba pro SSH.
• Nelze vyjednávat nebo najít hledané algoritmy nebo jinou kryptografii.

Konkrétní chyby se také liší napříč verzemi softwaru třetích stran. Vzhledem k rozsahu možných nástrojů SSH neuchovává společnost Dell seznam všech možných chyb. 

Pokud se vaše nástroje po potvrzení upgradu na verzi 9.4 nepřipojí k SSH, nejjednodušším způsobem testování je stáhnout si nejnovější verzi základního nástroje SSH, například PuTTY, nebo použít stávající funkce terminálu SSH, pokud jsou k dispozici ve vašem operačním systému, jako je Windows, macOS, Linux nebo UNIX (pokud používáte nástroje CLI na úrovni operačního systému, ujistěte se , že jsou také aktuální a správně aktualizované).

Pokud se váš "nejnovější a nejlepší" nástroj může úspěšně připojit k SSH, ale vaše starší nebo dosud neaktualizované nástroje se nemohou připojit kvůli chybám, jako jsou tyto, tento problém se vás týká.

Potvrzení technické podpory, že se vás tento problém týká, nelze získat bez poskytnutí protokolů na straně klienta z místních systémů ke kontrole. 

Pokud váš nástroj nevykazuje zjevné chyby a pochází od komerčního dodavatele a vy si nejste jisti, jak a kde z tohoto nástroje získat protokoly SSH, společnost Dell neuchovává data podpory o těchto dodavatelích třetích stran. Obraťte se přímo na dodavatele, který vám pomůže takové protokoly na straně klienta najít. Pokud se jedná o interní podnikový nebo organizační nástroj nebo podobně proprietární, musíte tento tým zapojit na svou stranu.

To má jednoduchou příčinu. V souladu s osvědčeným postupem si před upgradem vždy prostudujte poznámky k verzi a před upgradem vyjádřete zúčastněné strany, které na vašem úložném řešení pracují a udržují jej, pokud kvůli příchozím změnám potřebujete upravit jakékoli podřízené místní systémy.

Konkrétní podrobnosti naleznete v informacích o vydání OneFS 9.4 pro OneFS/Isilon:

• Dokumentace k systému OneFS 9.4.0.0 – Informační centrum PowerScale 
• OneFS 9.4 – Poznámky k verzi

Tomuto tématu se věnují strany 4–5 v poznámkách k verzi 9.4.

Některé méně bezpečné nebo nezabezpečené kryptografické algoritmy byly z našeho produktu vyřazeny a odstraněny. Zastaralé klientské nástroje SSH třetích stran se nemusí připojit, dokud nebudou aktualizovány. To je způsobeno tím, že starší klientské nástroje SSH se pokoušejí zapojit službu SSH na straně OneFS a snaží se vyjednat algoritmy, které již nejsou přítomny.

To se vždy nezdaří, protože jedna strana (na straně klienta) se pokouší použít něco, co již není k dispozici (na straně clusteru úložiště). 

K této chybě připojení na straně klienta pomocí SSH by došlo, pokud by se tento klientský nástroj pokusil připojit k libovolnému síťovému hostiteli pro SSH, pokud tento cílový systém nemá algoritmy, které chce použít. Pokud vaše klientské nástroje SSH nejsou v průběhu času pravidelně aktualizovány, nakonec se vám nepodaří připojit se k více systémům, protože tyto systémy také aktualizují své zabezpečení. Nejjednodušší průběžnou nápravou je udržovat klientské nástroje SSH vždy aktuální.

Pravidelná vylepšení zabezpečení, jako je toto, jsou standardem prakticky u všech souvisejících technologií v celém odvětví a reagují na průběžné bezpečnostní kontroly a výzvy. 

Předchozí incident upgradů kryptografie PowerScale, které vyžadovaly úpravy nástrojů na straně klienta, zahrnoval různé algoritmy a byl podrobně popsán v článku PowerScale: Algoritmus výměny klíčů SSH je označen skenery chyb zabezpečení: diffie-hellman-group1-sha1. 

Upgrade nástrojů klienta SSH:

Doporučeným řešením je aktualizovat všechny problematické klientské nástroje SSH tak, aby vyhovovaly revidovaným požadavkům kryptografických algoritmů na straně cílového hostitele (cluster PowerScale). Toto je nejbezpečnější možnost pro vaši bezpečnost.

Pokud jste ověřili upgrade sady nástrojů a stále se nedaří připojit, nezapomeňte nejprve otestovat stejné připojení SSH v síti, jak je doporučeno, pomocí jiného moderního nástroje třetí strany, jako je PuTTY (i když budete muset tento test provést znovu), než se obrátíte na podporu PowerScale. Toto porovnání je důležité pro řešení problémů.

Musíte také získat úplné neredigované protokoly klienta SSH se zobrazením chyb a všech nabízených a dostupných algoritmů. Podpora musí vědět, co si obě strany sdělují v plném rozsahu.

Pokud váš nástroj nevykazuje žádné zjevné chyby a pochází od komerčního dodavatele a vy si nejste jisti, jak a kde získat protokoly související s SSH z tohoto nástroje, společnost Dell neuchovává data podpory o takových dodavatelích třetích stran – je jich příliš mnoho na to, abychom je mohli sledovat. V případě potřeby se obraťte přímo na dodavatele nebo pracovníky IT, kteří vám pomohou takové protokoly na straně klienta vyhledat. Pokud se jedná o interní podnikový nebo organizační nástroj nebo podobně proprietární, pravděpodobně budete muset tento tým zapojit na svou stranu.

Pokud vaši zaměstnanci nebo dodavatel momentálně nejsou schopni aktualizovat vaše nástroje:

Pokud to váš technický personál nedokáže, máte možnost upravit sami příslušné konfigurace SSH na straně systému PowerScale OneFS a "znovu povolit" zastaralé, méně bezpečné nebo problematické algoritmy. Projděte si poznámky k verzi 9.4, pro které již není k dispozici algoritmus, který klientský nástroj nemůže najít a očekávat.

Použití stejných metod, které jsou podrobně popsány v softwaru PowerScale: Algoritmus výměny klíčů SSH je označen skenery chyb zabezpečení: diffie-hellman-group1-sha1 Nastavení systému OneFS můžete upravit tak, aby systém OneFS vyhovoval zastaralému klientskému softwaru SSH. 

Tento alternativní přístup se nedoporučuje, s výjimkou situací, jako jsou časově omezené nouzové situace, kdy je pro zavedený pracovní postup vyžadováno okamžité připojení pro konkrétní daný nástroj a aby byly vaše klientské systémy SSH stále co nejdříve aktualizovány pro vaši vlastní bezpečnost. Použijete-li tento přístup k tomu, abyste se "dostali dovnitř", doporučujeme vrátit se do systému po opravě a upgradu klientských nástrojů SSH a deaktivovat slabší algoritmy, které jste povolili. 

Pracovníci podpory společnosti Dell nemohou oslabit bezpečnostní profil clusteru PowerScale, jako je tento, ani s tím nemohou pomoci sami. Tyto úpravy musí provést pracovníci správy úložiště, kteří spravují clustery PowerScale. Podpora společnosti Dell také nemůže asistovat při aktualizacích klientských nástrojů SSH třetích stran na místních počítačích a serverech, jako jsou PuTTY, WinSCP, nástroje terminálu nativních operačních systémů nebo software jiných dodavatelů či podobné funkce.

Konečným doporučeným postupem pro dlouhodobé zabezpečení je, aby vaši zaměstnanci aktualizovali vaše klientské nástroje SSH tak, aby vyhovovaly revidovaným pokynům pro moderní algoritmus SSH.

• Informační centra k systému PowerScale OneFS
• Aktuální opravy systému PowerScale OneFS
• Isilon: PowerScale: OneFS: Odstraňování problémů s výkonem