PowerScale: Dopo l'aggiornamento a OneFS 9.4+, il client SSH non si connette al cluster

I messaggi di errore specifici visualizzati variano notevolmente in base allo strumento SSH di terze parti. Ad esempio, PuTTY o altri metodi di connessione SSH come Windows Secure Copy Protocol (WinSCP) o altre funzioni di programmazione.

Il guasto specifico è in genere una variazione di cose come, a titolo esemplificativo ma non esaustivo:

• Errore generico di algoritmo o crittografia per SSH.
• Impossibile negoziare o trovare gli algoritmi desiderati o altra crittografia.

Gli errori specifici variano anche in base alle versioni del software di terze parti. A causa della vasta gamma di strumenti SSH disponibili, Dell non tiene un elenco di tutti i possibili errori. 

Se gli strumenti non riescono a connettersi a SSH dopo la conferma del completamento di un aggiornamento alla versione 9.4, il modo più semplice per eseguire il test consiste nel scaricare la versione più recente di uno strumento SSH di base, ad esempio PuTTY, o utilizzare la funzionalità del terminale SSH esistente, se presente nel sistema operativo, ad esempio Windows, macOS, Linux o UNIX (se si utilizzano strumenti CLI a livello di sistema operativo, assicurarsi che siano anche aggiornati e aggiornati correttamente).

Se il tuo strumento "più recente e migliore" riesce a connettersi correttamente a SSH, ma i tuoi strumenti meno recenti o non ancora aggiornati non riescono a connettersi a causa di errori come questi, questo problema ti riguarda.

La conferma del supporto tecnico in merito a questo problema non può essere ottenuta senza fornire i registri lato client dai sistemi locali per l'esame. 

Se lo strumento non presenta errori evidenti e proviene da un fornitore commerciale e non si è certi di come o dove ottenere i registri relativi a SSH da tale strumento, Dell non conserva i dati di supporto di tali fornitori di terze parti. Contattare direttamente il fornitore per assistenza nell'individuazione di tali log lato client. Se si tratta di uno strumento aziendale o organizzativo interno, o similmente proprietario, devi coinvolgere quel team dalla tua parte.

La causa è semplice. Come best practice, rivedere sempre le note di rilascio end-to-end con le entità interessate che lavorano e gestiscono la soluzione di storage prima dell'aggiornamento, se è necessario regolare eventuali sistemi locali downstream a causa di modifiche in entrata.

I dettagli specifici di seguito sono disponibili nelle note di rilascio di OneFS 9.4 per OneFS/Isilon:

• Documentazione su OneFS 9.4.0.0 - Hub informazioni di PowerScale 
• Note di rilascio di OneFS 9.4

Le pagine 4 e 5 delle Note di rilascio 9.4 trattano l'argomento.

Alcuni algoritmi di crittografia meno sicuri o non sicuri sono stati deprecati e rimossi dal nostro prodotto. Gli strumenti client SSH di terze parti obsoleti potrebbero non riuscire a connettersi fino a quando non vengono aggiornati. Ciò è dovuto al fatto che strumenti client SSH meno recenti tentano di attivare il servizio SSH sul lato OneFS e tentano di negoziare algoritmi non più presenti.

Questa operazione ha sempre esito negativo, poiché un lato (il lato client) sta tentando di utilizzare qualcosa di non più disponibile (sul lato del cluster di storage). 

Questa mancata connessione tramite SSH sul lato client si verifica se lo strumento client tenta di connettersi a qualsiasi host di rete per SSH, se il sistema di destinazione non dispone degli algoritmi che desidera utilizzare. Nel corso del tempo, se gli strumenti client SSH non vengono aggiornati regolarmente, alla fine non è possibile connettersi ad altri sistemi poiché tali sistemi aggiornano anche la propria sicurezza. La correzione più semplice su base continuativa consiste nel mantenere sempre aggiornati gli strumenti del client SSH.

Miglioramenti periodici della sicurezza come questo sono standard su quasi tutte le tecnologie correlate in tutto il settore in risposta alle revisioni e alle sfide di sicurezza in corso. 

Un precedente caso di aggiornamenti della crittografia PowerScale che richiedevano modifiche agli strumenti lato client riguardava diversi algoritmi ed è stato descritto in dettaglio in PowerScale: L'algoritmo di scambio chiavi SSH è contrassegnato dagli scanner delle vulnerabilità di sicurezza: diffie-hellman-group1-sha1. 

Aggiornare gli strumenti del client SSH:

La soluzione consigliata consiste nell'aggiornare tutti gli strumenti client SSH problematici per soddisfare i requisiti degli algoritmi di crittografia rivisti sul lato host di destinazione (il cluster PowerScale). Questa è l'opzione più sicura per la tua sicurezza.

Se l'aggiornamento del set di strumenti è stato convalidato e ancora non si riesce a connettersi, assicurarsi di testare prima la stessa connessione SSH sulla rete, come consigliato con un altro strumento di terze parti moderno e più recente come PuTTY (anche se è necessario ripetere questo test), prima di contattare il supporto PowerScale. Questo confronto è importante per la risoluzione dei problemi.

È inoltre necessario ottenere i registri completi del client SSH non redatti che mostrano gli errori e tutti gli algoritmi offerti e disponibili. Il supporto deve sapere perfettamente ciò che entrambe le parti comunicano l'una all'altra.

Se lo strumento non presenta errori evidenti e proviene da un fornitore commerciale e non si è certi di come o dove ottenere i registri relativi a SSH da tale strumento, significa che Dell non conserva i dati di supporto di tali fornitori di terze parti. Contattare direttamente il fornitore o il personale IT per assistenza nell'individuazione di tali registri "lato client", se necessario. Se si tratta di uno strumento aziendale o organizzativo interno, o similmente proprietario, è probabile che tu debba coinvolgere quel team dalla tua parte.

Se il personale o il fornitore non è attualmente in grado di aggiornare gli strumenti:

Se il personale tecnico non è in grado di eseguire questa operazione, esiste la possibilità tecnica di modificare, autonomamente, le configurazioni SSH pertinenti sul lato PowerScale OneFS per "riabilitare" algoritmi obsoleti, meno sicuri o problematici. Esaminare le note di rilascio 9.4 per l'algoritmo non più disponibile, che lo strumento client non è in grado di trovare e previsto.

Utilizzando gli stessi metodi descritti in PowerScale: L'algoritmo di scambio chiavi SSH è contrassegnato dagli scanner delle vulnerabilità di sicurezza: diffie-hellman-group1-sha1 è possibile modificare le impostazioni di OneFS per fare in modo che OneFS sia compatibile con il software client SSH obsoleto. 

Questo approccio alternativo non è raccomandato se non in situazioni come emergenze limitate nel tempo in cui è necessaria una connessione immediata per un determinato strumento per un flusso di lavoro stabilito e che i sistemi client SSH vengano comunque aggiornati il prima possibile per la propria sicurezza. Se si utilizza questo approccio per "entrare ora", si consiglia di tornare al sistema dopo che gli strumenti client SSH sono stati riparati e aggiornati, per disabilitare gli algoritmi più deboli abilitati. 

Il personale del supporto Dell non può indebolire il profilo di sicurezza di un PowerScale Cluster come questo o aiutare in autonomia. Tali modifiche devono essere eseguite dal personale amministrativo dello storage che gestisce i cluster PowerScale. Il Supporto Dell non è inoltre in grado di fornire assistenza per eventuali aggiornamenti di strumenti SSH client di terze parti su computer e server locali, come PuTTY, WinSCP, strumenti di tipo terminale del sistema operativo nativo o qualsiasi software di terze parti o funzionalità simili.

La linea d'azione consigliata definitiva per la sicurezza a lungo termine è che il personale aggiorni gli strumenti client SSH per conformarsi alle linee guida rivisitate degli algoritmi SSH moderni.

• Hub di informazioni su PowerScale OneFS
• Patch attuali di OneFS PowerScale
• Isilon: PowerScale: OneFS: risoluzione dei problemi relativi alle prestazioni