PowerScale: Efter OneFS 9.4+-opgradering opretter SSH-klienten ikke forbindelse til klyngen

Specifikke fejlmeddelelser, der ses, varierer meget afhængigt af det specifikke tredjeparts SSH-værktøj. F.eks. PuTTY eller andre SSH-forbindelsesmetoder som f.eks. Windows Secure Copy Protocol (WinSCP) eller andre programmeringsfunktioner.

Den specifikke fejl er normalt en variation af ting som, men ikke begrænset til:

• Generisk algoritme eller kryptografisk fejl for SSH.
• Kan ikke forhandle eller finde ønskede algoritmer eller anden kryptografi.

Specifikke fejl varierer også på tværs af tredjepartssoftwareversioner. På grund af omfanget af mulige SSH-værktøjer fører Dell ikke en liste over alle mulige fejl. 

Hvis dine værktøjer ikke kan oprette forbindelse til SSH, efter at en 9.4-opgradering er bekræftet som fuldført, er den nemmeste måde at teste på at downloade den nyeste version af et grundlæggende SSH-værktøj som PuTTY eller bruge eksisterende SSH-terminalfunktionalitet, hvis den findes på dit operativsystem, såsom Windows, macOS, Linux eller UNIX (hvis du bruger CLI-værktøjer på OS-niveau, Sørg for, at de også er aktuelle og opdateres korrekt).

Hvis dit "nyeste og bedste" værktøj kan oprette forbindelse til SSH med succes, men dine ældre eller endnu ikke opdaterede værktøjer ikke kan oprette forbindelse på grund af fejl som disse, påvirker dette problem dig.

Teknisk supports bekræftelse på, at dette problem påvirker dig, kan ikke fås uden at levere logfiler på klientsiden fra dine lokale systemer til gennemgang. 

Hvis dit værktøj ikke viser klare fejl og er fra en kommerciel leverandør, og du ikke er sikker på, hvordan eller hvor du kan hente de SSH-relaterede logfiler fra det pågældende værktøj, opbevarer Dell ikke supportdata om sådanne tredjepartsleverandører. Kontakt din leverandør direkte for at få hjælp til at finde sådanne logfiler på klientsiden. Hvis det er et internt virksomheds- eller organisationsværktøj eller lignende proprietært, skal du engagere dette team på din side.

Dette har en simpel årsag. Som bedste praksis skal du altid gennemgå produktbemærkningerne fra start til slut med interessenter, der arbejder på og vedligeholder din storageløsning før opgradering, hvis du skal justere eventuelle lokale downstream-systemer på grund af indgående ændringer.

De specifikke oplysninger her findes i OneFS 9.4-produktbemærkningerne til OneFS/Isilon:

• Dokumentation til OneFS 9.4.0.0 – PowerScale-informationshub 
• OneFS 9.4 – Produktbemærkninger

Side 4-5 i produktbemærkningerne til 9.4 dækker emnet.

Visse mindre sikre eller usikre kryptografiske algoritmer blev udfaset og fjernet fra vores produkt. Forældede tredjeparts SSH-klientværktøjer kan muligvis ikke oprette forbindelse, før de opdateres. Dette skyldes, at ældre SSH-klientværktøjer forsøger at aktivere SSH-tjenesten på OneFS-siden og forsøger at forhandle algoritmer, der ikke længere er til stede.

Dette mislykkes altid, da den ene side (klientsiden) forsøger at bruge noget, der ikke længere er tilgængeligt (på storageklyngesiden). 

Denne klientsidefejl med at oprette forbindelse via SSH ville ske, hvis klientværktøjet forsøger at oprette forbindelse til en netværksvært for SSH, hvis målsystemet ikke har de algoritmer, det vil bruge. Over tid, hvis dine SSH-klientværktøjer ikke opdateres rutinemæssigt, undlader du til sidst at oprette forbindelse til flere systemer, da disse systemer også opdaterer deres sikkerhed. Den nemmeste afhjælpning løbende er altid at holde SSH-klientværktøjer opdaterede.

Periodiske sikkerhedsforbedringer som denne er standard på stort set alle relaterede teknologier i hele branchen som reaktion på løbende sikkerhedsgennemgange og udfordringer. 

En tidligere hændelse med PowerScale-kryptografiopgraderinger, der krævede justeringer af værktøjer på klientsiden, involverede forskellige algoritmer og blev beskrevet i detaljer i PowerScale: SSH Key Exchange Algorithm markeres af sikkerhedssårbarhedsscannere: diffie-hellman-group1-sha1. 

Opgrader dine SSH-klientværktøjer:

Den anbefalede løsning er at opdatere eventuelle problematiske SSH-klientværktøjer, så de passer til reviderede krav til kryptografiske algoritmer på målværtssiden (PowerScale-klyngen). Dette er den sikreste mulighed for din sikkerhed.

Hvis du har valideret din værktøjssætopgradering, og den stadig ikke kan oprette forbindelse, skal du sørge for at teste den samme SSH-forbindelse på netværket først som anbefalet med et andet moderne tredjepartsværktøj i den nyeste version som PuTTY (selvom du skal udføre denne test igen), før du kontakter PowerScale Support. Det er vigtigt at have denne sammenligning for fejlfinding.

Du skal også hente komplette uredigerede SSH-klientlogfiler, der viser fejl og eventuelle tilbudte og tilgængelige algoritmer. Support skal vide, hvad begge sider kommunikerer fuldt ud til hinanden.

Hvis dit værktøj ikke viser klare fejl og er fra en kommerciel leverandør, og du ikke er sikker på, hvordan eller hvor du kan få SSH-relaterede logfiler fra det pågældende værktøj, opbevarer Dell ikke supportdata om sådanne tredjepartsleverandører, og der er for mange til, at vi kan spore det. Kontakt din leverandør eller it-medarbejdere direkte for at få hjælp til at finde sådanne logfiler på "klientsiden", hvis det er nødvendigt. Hvis det er et internt virksomheds- eller organisationsværktøj eller lignende proprietært, skal du sandsynligvis engagere det team på din side.

Hvis dine medarbejdere eller leverandører i øjeblikket ikke kan opdatere dine værktøjer:

Hvis dit tekniske personale ikke er i stand til at gøre dette, har du en teknisk mulighed for selv at ændre de relevante SSH-konfigurationer på PowerScale OneFS-siden for at "genaktivere" forældede, mindre sikre eller problematiske algoritmer. Gennemgå 9.4 produktbemærkningerne for, hvilken algoritme der ikke længere er tilgængelig, som dit klientværktøj ikke kan finde og forventer.

Ved hjælp af de samme metoder, der er beskrevet i PowerScale: SSH Key Exchange Algorithm markeres af sikkerhedssårbarhedsscannere: diffie-hellman-group1-sha1 du kan ændre OneFS-indstillingerne for at få OneFS til at rumme forældet SSH-klientsoftware. 

Denne alternative tilgang anbefales ikke, undtagen i situationer som tidsbegrænsede nødsituationer, hvor der kræves en øjeblikkelig forbindelse til et specifikt givet værktøj til en etableret arbejdsgang, og at dine SSH-klientsystemer stadig opdateres så hurtigt som muligt for din egen sikkerhed. Hvis du bruger denne tilgang til "kom ind nu", opfordres du til at gå tilbage i systemet, når dine SSH-klientværktøjer er repareret og opgraderet, for at deaktivere de svagere algoritmer, du aktiverede. 

Dells supportmedarbejdere kan ikke svække sikkerhedsprofilen for en PowerScale-klynge som denne eller hjælpe med det selv. Sådanne justeringer skal køres af storageadministrationspersonalet, der administrerer dine PowerScale-klynger. Dell Support kan heller ikke hjælpe med opdateringer af tredjepartsklienters SSH-værktøjer på dine lokale computere og servere, f.eks. PuTTY, WinSCP, terminallignende værktøjer til operativsystemer eller software fra tredjepartsleverandører eller lignende funktionalitet.

Den ultimative anbefalede fremgangsmåde for din langsigtede sikkerhed er, at dit personale opdaterer dine SSH-klientværktøjer for at overholde revideret moderne SSH-algoritmevejledning.

• PowerScale OneFS-informationshubs
• Aktuelle PowerScale OneFS-patches
• Isilon: PowerScale: OneFS: Fejlfinding af problemer med ydeevnen