PowerScale: OneFS 9.4+ 업그레이드 후 SSH 클라이언트가 클러스터에 연결되지 않음

표시되는 특정 오류 메시지는 특정 타사 SSH 툴에 따라 크게 다릅니다. 예를 들어, PuTTY 또는 WinSCP(Windows Secure Copy Protocol) 또는 기타 프로그래밍 기능과 같은 기타 SSH 연결 방법입니다.

특정 실패는 일반적으로 다음과 같은 몇 가지 변형이지만 이에 국한되지는 않습니다.

• SSH에 대한 일반 알고리즘 또는 암호화 오류입니다.
• 원하는 알고리듬 또는 기타 암호화를 협상하거나 찾을 수 없습니다.

특정 오류는 타사 소프트웨어 버전에 따라 다릅니다. 가능한 SSH 툴의 규모로 인해 Dell은 가능한 모든 오류의 목록을 보관하지 않습니다. 

9.4 업그레이드가 완료된 것으로 확인된 후 도구가 SSH에 연결되지 않는 경우 테스트하는 가장 쉬운 방법은 PuTTY와 같은 최신 버전의 기본 SSH 도구를 다운로드하거나 Windows, macOS, Linux 또는 UNIX와 같은 운영 체제에 있는 경우 기존 SSH 터미널 기능(OS 수준 CLI 도구를 사용하는 경우 또한 최신 상태이고 올바르게 업데이트되었는지 확인하십시오.

"최신의" 도구가 SSH에 성공적으로 연결할 수 있지만 이와 같은 오류로 인해 이전 또는 아직 업데이트되지 않은 도구를 연결할 수 없는 경우 이 문제가 영향을 미치는 것입니다.

이 문제가 영향을 미치는 기술 지원 확인은 검토를 위해 로컬 시스템에서 클라이언트 측 로그를 제공하지 않으면 얻을 수 없습니다. 

툴에 명백한 오류가 표시되지 않고 상용 공급업체의 제품이며 해당 툴에서 SSH 관련 로그를 어디서 어떻게 얻을 수 있는지 확실하지 않은 경우 Dell은 그러한 타사 공급업체의 지원 데이터를 보관하지 않습니다. 이러한 클라이언트 쪽 로그를 찾는 데 도움이 필요하면 공급업체에 직접 문의하십시오. 내부 기업 또는 조직 도구이거나 이와 유사한 독점 도구인 경우 해당 팀을 참여시켜야 합니다.

원인은 간단합니다. 인바운드 변경으로 인해 다운스트림 로컬 시스템을 조정해야 하는 경우, 업그레이드 전에 항상 이해 관계자와 함께 처음부터 끝까지 릴리스 노트를 검토하는 것이 모범 사례입니다.

자세한 내용은 OneFS/Isilon용 OneFS 9.4 릴리스 노트에서 확인할 수 있습니다.

• OneFS 9.4.0.0 문서 - PowerScale 정보 허브 
• OneFS 9.4 릴리스 노트

9.4 릴리스 노트의 4-5페이지에서 이 주제를 다룹니다.

덜 안전하거나 안전하지 않은 특정 암호화 알고리즘은 더 이상 사용되지 않으며 제품에서 제거되었습니다. 오래된 타사 SSH 클라이언트 툴은 업데이트될 때까지 연결되지 않을 수 있습니다. 이는 이전 SSH 클라이언트 툴이 OneFS 측에서 SSH 서비스를 사용하려고 시도하고 더 이상 존재하지 않는 알고리듬을 협상하려고 하기 때문입니다.

한 쪽(클라이언트 측)에서 (스토리지 클러스터 측에서) 더 이상 사용할 수 없는 것을 사용하려고 하기 때문에 항상 실패합니다. 

SSH를 통한 클라이언트 측 연결 실패는 해당 타겟 시스템에 사용할 알고리듬이 없는 경우 해당 클라이언트 툴이 SSH를 위해 네트워크 호스트에 연결하려고 시도하는 경우에 발생합니다. 시간이 지남에 따라 SSH 클라이언트 도구가 정기적으로 업데이트되지 않으면 해당 시스템도 보안을 업데이트하므로 결국 더 많은 시스템에 연결하지 못합니다. 지속적으로 문제를 해결하는 가장 쉬운 방법은 SSH 클라이언트 도구를 항상 최신 상태로 유지하는 것입니다.

이와 같은 주기적인 보안 개선은 지속적인 보안 검토 및 과제에 대응하기 위해 업계 전반의 거의 모든 관련 기술에서 표준으로 제공됩니다. 

클라이언트 측 툴에 대한 조정이 필요한 PowerScale 암호화 업그레이드의 이전 인시던트에는 다양한 알고리즘이 포함되었으며 PowerScale에 자세히 설명되어 있습니다. SSH 키 교환 알고리즘은 보안 취약성 스캐너인 diffie-hellman-group1-sha1에 의해 플래그가 지정됩니다. 

SSH 클라이언트 툴 업그레이드:

권장되는 해결 방법은 문제가 있는 SSH 클라이언트 툴을 업데이트하여 타겟 호스트 측(PowerScale 클러스터)에서 수정된 암호화 알고리즘 요구 사항을 수용하는 것입니다. 이것은 보안을 위한 가장 안전한 옵션입니다.

툴 세트 업그레이드를 검증했지만 여전히 연결에 실패하는 경우 PowerScale 지원에 문의하기 전에 PuTTY와 같은 다른 최신 버전 타사 툴(이 테스트를 다시 수행해야 하는 경우에도)에서 권장하는 대로 먼저 네트워크에서 동일한 SSH 연결을 테스트해야 합니다. 이러한 비교는 문제 해결에 중요합니다.

또한 실패와 제공 및 사용 가능한 모든 알고리즘을 보여주는 수정되지 않은 전체 SSH 클라이언트 로그를 확보해야 합니다. 지원팀은 양측이 서로에게 무엇을 전달하고 있는지 완전히 알고 있어야 합니다.

툴에 명백한 오류가 없고 커머셜 벤더의 제품이며 해당 툴에서 SSH 관련 로그를 어디서 어떻게 얻을 수 있는지 확실하지 않은 경우 Dell은 이러한 타사 공급업체의 지원 데이터를 보관하지 않습니다. 그 수가 너무 많아 추적할 수 없습니다. 필요한 경우 공급업체 또는 IT 직원에게 직접 문의하여 이러한 "클라이언트 측" 로그를 찾는 데 도움을 받으십시오. 내부 기업 또는 조직 도구이거나 이와 유사하게 독점적인 도구인 경우 해당 팀을 참여시켜야 할 것입니다.

직원 또는 공급업체가 현재 툴을 업데이트할 수 없는 경우:

귀사의 기술 담당자가 이를 수행할 수 없는 경우 귀사가 PowerScale OneFS 측에서 관련 SSH 구성을 직접 수정하여 오래되었거나 보안 수준이 낮거나 문제가 있는 알고리듬을 "다시 활성화"할 수 있습니다. 9.4 릴리스 노트에서 더 이상 사용할 수 없지만 클라이언트 툴에서 찾을 수 없는 알고리듬이 무엇인지 확인하십시오.

PowerScale에 설명된 것과 동일한 방법을 사용합니다. SSH 키 교환 알고리듬이 보안 취약성 스캐너에 의해 플래그 지정됨: diffie-hellman-group1-sha1 OneFS 설정을 수정하여 OneFS가 오래된 SSH 클라이언트 소프트웨어를 수용하도록 할 수 있습니다. 

이 대체 접근 방식은 설정된 워크플로에 대해 특정 특정 도구에 대한 즉각적인 연결이 필요하고 자신의 안전을 위해 SSH 클라이언트 시스템을 가능한 한 빨리 업데이트해야 하는 시간 제한 비상 상황과 같은 상황을 제외하고는 권장되지 않습니다. 이 방법을 사용하여 "지금 로그인"하는 경우 SSH 클라이언트 도구를 복구하고 업그레이드한 후 시스템으로 돌아가 사용하도록 설정한 약한 알고리즘을 사용하지 않도록 설정하는 것이 좋습니다. 

Dell 지원 담당자는 이와 같이 PowerScale 클러스터의 보안 프로필을 약화시키거나 직접 도움을 줄 수 없습니다. 이러한 조정은 PowerScale 클러스터를 관리하는 스토리지 관리 담당자가 실행해야 합니다. 또한 Dell 지원 부서에서는 로컬 컴퓨터 및 서버에서 PuTTY, WinSCP, 기본 운영 체제 터미널 유형 도구 또는 타사 공급업체 소프트웨어나 유사한 기능과 같은 타사 클라이언트 SSH 도구의 업데이트를 지원할 수 없습니다.

장기적인 보안을 위해 권장되는 궁극적인 조치는 직원이 수정된 최신 SSH 알고리즘 지침을 준수하도록 SSH 클라이언트 도구를 업데이트하는 것입니다.

• PowerScale OneFS 정보 허브
• PowerScale OneFS 최신 패치
• Isilon: PowerScale: OneFS: 성능 문제 해결