PowerScale: Na OneFS 9.4+ upgrade maakt SSH-client geen verbinding met het cluster

Specifieke foutmeldingen variëren sterk, afhankelijk van de specifieke SSH-tool van derden. Bijvoorbeeld PuTTY of andere SSH-verbindingsmethoden zoals Windows Secure Copy Protocol (WinSCP) of andere programmeerfuncties.

De specifieke fout is meestal een variatie op zaken als, maar niet beperkt tot:

• Generiek algoritme of cryptografische fout voor SSH.
• Kan niet onderhandelen of gewenste algoritmen of andere cryptografie vinden.

Specifieke fouten verschillen ook tussen softwareversies van derden. Vanwege de omvang van mogelijke SSH-tools houdt Dell geen lijst bij van alle mogelijke fouten. 

Als uw hulpprogramma's geen verbinding kunnen maken met SSH nadat een upgrade van 9.4 is bevestigd, kunt u dit het makkelijkst testen door de nieuwste versie van een standaard SSH-hulpprogramma zoals PuTTY te downloaden of bestaande SSH-terminalfunctionaliteit te gebruiken als deze aanwezig is op uw besturingssysteem, zoals Windows, macOS, Linux of UNIX (als u CLI-hulpprogramma's op besturingssysteemniveau gebruikt, Zorg ervoor dat ze ook actueel zijn en correct worden bijgewerkt).

Als uw "nieuwste en beste" tool wel verbinding kan maken met SSH, maar uw oudere, of nog niet bijgewerkte, tools geen verbinding kunnen maken vanwege dergelijke fouten, dan heeft dit probleem gevolgen voor u.

Technische supportbevestiging dat dit probleem op u van invloed is, kan niet worden verkregen zonder logboeken aan de clientzijde van uw lokale systemen ter controle te verstrekken. 

Als uw hulpprogramma geen duidelijke fouten bevat en afkomstig is van een commerciële leverancier, en u niet zeker weet hoe of waar u de SSH-logbestanden van dat hulpprogramma kunt krijgen, bewaart Dell geen ondersteuningsgegevens van dergelijke externe leveranciers. Neem rechtstreeks contact op met uw leverancier voor hulp bij het zoeken naar dergelijke logboeken aan de clientzijde. Als het een interne bedrijfs- of organisatietool is, of vergelijkbaar bedrijfseigen is, moet u dat team aan uw kant betrekken.

Dit heeft een eenvoudige oorzaak. Zoals gebruikelijk dient u altijd de releaseopmerkingen door te nemen met de belanghebbenden die aan uw storageoplossing werken en deze onderhouden voordat u de upgrade uitvoert, als u downstream lokale systemen moet aanpassen als gevolg van binnenkomende wijzigingen.

De specifieke details hier vindt u in de OneFS 9.4 releaseopmerkingen voor OneFS/Isilon:

• OneFS 9.4.0.0 documentatie - PowerScale Info Hub 
• OneFS 9.4 releaseopmerkingen

Pagina's 4-5 van de releaseopmerkingen van 9.4 behandelen het onderwerp.

Bepaalde minder veilige of onveilige cryptografische algoritmen zijn verouderd en uit ons product verwijderd. Verouderde SSH-clienttools van derden kunnen mogelijk geen verbinding maken totdat ze zijn bijgewerkt. Dit komt doordat oudere SSH-clienttools de SSH-service aan de OneFS-kant proberen in te schakelen en proberen te onderhandelen over algoritmen die niet meer aanwezig zijn.

Dit mislukt altijd, omdat de ene kant (de clientkant) iets probeert te gebruiken dat niet meer beschikbaar is (aan de kant van het storagecluster). 

Dit falen aan de clientzijde om verbinding te maken via SSH zou zich voordoen als die clienttool zou proberen verbinding te maken met een netwerkhost voor SSH, als dat doelsysteem niet over de algoritmen beschikt die het wil gebruiken. Na verloop van tijd, als uw SSH-clienttools niet routinematig worden bijgewerkt, kunt u uiteindelijk geen verbinding maken met meer systemen, omdat die systemen ook hun beveiliging bijwerken. De eenvoudigste oplossing voor een doorlopende basis is om SSH-clienttools altijd up-to-date te houden.

Periodieke beveiligingsverbeteringen zoals deze zijn standaard op vrijwel alle gerelateerde technologieën in de hele sector als reactie op voortdurende beveiligingsbeoordelingen en uitdagingen. 

Een eerder incident met PowerScale cryptografie-upgrades die aanpassingen aan client-side tools vereisten, betrof verschillende algoritmen en werd gedetailleerd beschreven in PowerScale: SSH Key Exchange Algorithm wordt gemarkeerd door security vulnerability scanners: diffie-hellman-group1-sha1. 

Upgrade uw SSH-clienttools:

De aanbevolen oplossing is om eventuele problematische SSH-clienttools bij te werken om tegemoet te komen aan de herziene vereisten voor cryptografische algoritmen aan de kant van de doelhost (het PowerScale cluster). Dit is de veiligste optie voor uw veiligheid.

Als u uw toolset-upgrade hebt gevalideerd en er nog steeds geen verbinding kan worden gemaakt, test dan eerst diezelfde SSH-verbinding op uw netwerk, zoals aanbevolen met een andere moderne tool van derden met de nieuwste versie, zoals PuTTY (zelfs als u deze test opnieuw moet uitvoeren) voordat u contact opneemt met PowerScale Support. Die vergelijking is belangrijk voor het oplossen van problemen.

U moet ook volledige, niet-geredigeerde SSH-clientlogboeken verkrijgen met fouten en alle aangeboden en beschikbare algoritmen. Draagvlak moet volledig weten wat beide partijen met elkaar communiceren.

Als uw hulpprogramma geen duidelijke fouten vertoont en afkomstig is van een commerciële leverancier, en u niet zeker weet hoe of waar u SSH-gerelateerde logboeken van dat hulpprogramma kunt krijgen, bewaart Dell geen ondersteuningsgegevens van dergelijke externe leveranciers. Het zijn er te veel voor ons om dat bij te houden. Neem indien nodig rechtstreeks contact op met uw leverancier of IT-personeel voor hulp bij het zoeken naar dergelijke logboeken aan de clientzijde. Als het een interne bedrijfs- of organisatietool is, of iets dergelijks, moet u dat team waarschijnlijk aan uw kant inschakelen.

Als uw personeel of leverancier momenteel niet in staat is om uw tools bij te werken:

Als uw technische staf niet in staat is om dit te doen, bestaat de technische mogelijkheid dat u zelf de relevante SSH-configuraties aan de PowerScale OneFS-kant wijzigt om verouderde, minder veilige of problematische algoritmen "opnieuw in te schakelen". Bekijk de releaseopmerkingen van 9.4 waarvoor geen algoritme meer beschikbaar is dat uw clienttool niet kan vinden en verwacht.

Gebruik dezelfde methoden die worden beschreven in PowerScale: SSH Key Exchange Algorithm is gemarkeerd door security vulnerability scanners: diffie-hellman-group1-sha1 U kunt de OneFS-instellingen wijzigen om OneFS geschikt te maken voor verouderde SSH-clientsoftware. 

Deze alternatieve aanpak wordt niet aanbevolen, behalve in situaties zoals in de tijd beperkte noodgevallen waarbij een onmiddellijke verbinding voor een specifieke tool vereist is voor een vastgestelde workflow, en dat uw SSH-clientsystemen nog steeds zo snel mogelijk worden bijgewerkt voor uw eigen veiligheid. Als u deze aanpak gebruikt om "nu in te stappen", wordt u aangemoedigd om terug te gaan naar het systeem nadat uw SSH-clienttools zijn gerepareerd en geüpgraded, om de zwakkere algoritmen die u hebt ingeschakeld uit te schakelen. 

Medewerkers van Dell Support kunnen het beveiligingsprofiel van een PowerScale cluster niet afzwakken of zelf helpen. Dergelijke aanpassingen moeten worden uitgevoerd door uw storagebeheerpersoneel dat uw PowerScale-clusters beheert. Dell Support kan ook niet helpen bij updates van client-SSH-tools van derden op uw lokale computers en servers, zoals PuTTY, WinSCP, native besturingssysteem-terminal-type tools, of software van externe leveranciers of vergelijkbare functionaliteit.

De ultieme aanbevolen aanpak voor uw beveiliging op de lange termijn is dat uw personeel uw SSH-clienttools bijwerkt om te voldoen aan de herziene moderne richtlijnen voor SSH-algoritmen.

• PowerScale OneFS infohubs
• Huidige patches van PowerScale OneFS
• Isilon: PowerScale: OneFS: Troubleshooting performance issues