PowerScale: Etter OneFS 9.4+-oppgraderingen kobles ikke SSH-klienten til klyngen

Spesifikke feilmeldinger som vises, varierer mye basert på det spesifikke tredjeparts SSH-verktøyet. For eksempel PuTTY eller andre SSH-tilkoblingsmetoder som Windows Secure Copy Protocol (WinSCP) eller andre programmeringsfunksjoner.

Den spesifikke feilen er vanligvis en variasjon av ting som, men ikke begrenset til:

• Generisk algoritme eller kryptografisk feil for SSH.
• Kan ikke forhandle eller finne ønskede algoritmer eller annen kryptografi.

Spesifikke feil varierer også på tvers av tredjeparts programvareversjoner. På grunn av omfanget av mulige SSH-verktøy fører ikke Dell en liste over alle mulige feil. 

Hvis verktøyene dine ikke klarer å koble til SSH etter at en 9.4-oppgradering er bekreftet som fullført, er den enkleste måten å teste på å laste ned den nyeste versjonen av et grunnleggende SSH-verktøy som PuTTY eller bruke eksisterende SSH-terminalfunksjonalitet hvis det finnes på operativsystemet, for eksempel Windows, macOS, Linux eller UNIX (Hvis du bruker CLI-verktøy på OS-nivå, Forsikre deg om at de også er oppdaterte og oppdateres riktig).

Hvis det "nyeste og beste" verktøyet ditt kan koble til SSH, men de eldre eller ennå ikke oppdaterte verktøyene dine ikke kan koble til på grunn av feil som disse, påvirker dette problemet deg.

Bekreftelse på teknisk støtte for at dette problemet påvirker deg, kan ikke skaffes uten å levere logger på klientsiden fra de lokale systemene for gjennomgang. 

Hvis verktøyet ditt ikke viser klare feil og er fra en kommersiell leverandør, og du ikke er sikker på hvordan eller hvor du skal få SSH-relaterte logger fra det verktøyet, beholder ikke Dell støttedata om slike tredjepartsleverandører. Kontakt leverandøren direkte for å få hjelp til å finne slike logger på klientsiden. Hvis det er et internt bedrifts- eller organisasjonsverktøy, eller tilsvarende proprietært, må du engasjere teamet på din side.

Dette har en enkel årsak. Som anbefalt fremgangsmåte, må du alltid gjennomgå produktmerknadene ende-til-ende med interessenter som jobber med og vedlikeholder lagringsløsningen før oppgraderingen, hvis du må justere eventuelle lokale systemer nedstrøms på grunn av innkommende endringer.

De spesifikke detaljene her finnes i produktmerknadene for OneFS 9.4 for OneFS/Isilon:

• OneFS 9.4.0.0-dokumentasjon – PowerScale-informasjonshub 
• Produktmerknader for OneFS 9.4

Side 4-5 i 9.4-produktmerknadene dekker emnet.

Visse mindre sikre eller usikre kryptografiske algoritmer ble avskrevet og fjernet fra produktet vårt. Utdaterte tredjeparts SSH-klientverktøy kan ikke koble til før de er oppdatert. Dette skyldes eldre SSH-klientverktøy som prøver å engasjere SSH-tjenesten på OneFS-siden og prøver å forhandle algoritmer som ikke lenger er til stede.

Dette mislykkes alltid, da den ene siden (klientsiden) prøver å bruke noe som ikke lenger er tilgjengelig (på lagringsklyngesiden). 

Denne klientsiden unnlatelse av å koble til med SSH ville skje hvis klientverktøyet forsøker å koble til en nettverksvert for SSH, hvis målsystemet ikke har algoritmene det vil bruke. Over tid, hvis SSH-klientverktøyene dine ikke oppdateres rutinemessig, klarer du til slutt ikke å koble til flere systemer, da disse systemene også oppdaterer sikkerheten. Den enkleste utbedringen på en kontinuerlig basis er å alltid holde SSH-klientverktøy oppdatert.

Periodiske sikkerhetsforbedringer som dette er standard på praktisk talt alle relaterte teknologier i hele bransjen som svar på pågående sikkerhetsgjennomganger og utfordringer. 

En tidligere hendelse med oppgraderinger av PowerScale-kryptografi som krevde justeringer av verktøy på klientsiden, involverte forskjellige algoritmer og ble beskrevet i PowerScale: SSH Key Exchange Algorithm er flagget av sikkerhetssårbarhetsskannere: diffie-hellman-group1-sha1. 

Oppgrader SSH-klientverktøyene:

Den anbefalte løsningen er å oppdatere eventuelle problematiske SSH-klientverktøy for å imøtekomme reviderte kryptografiske algoritmekrav på målvertssiden (PowerScale-klyngen). Dette er det sikreste alternativet for din sikkerhet.

Hvis du har validert verktøysettoppgraderingen og den fortsatt ikke klarer å koble til, må du først teste den samme SSH-tilkoblingen på nettverket som anbefalt med et annet moderne tredjepartsverktøy som PuTTY (selv om du må gjøre denne testen igjen) før du kontakter PowerScale-støtte. Å ha den sammenligningen er viktig for feilsøking.

Du må også få fullstendige redigerte SSH-klientlogger som viser feil og eventuelle tilbudte og tilgjengelige algoritmer. Støtten må vite hva begge sider kommuniserer til hverandre i sin helhet.

Hvis verktøyet ditt ikke viser klare feil og er fra en kommersiell leverandør, og du ikke er sikker på hvordan eller hvor du skal få SSH-relaterte logger fra det verktøyet, beholder ikke Dell støttedata om slike tredjepartsleverandører. Det er for mange til at vi kan spore dette. Kontakt leverandøren eller IT-avdelingen direkte for å få hjelp til å finne slike logger på klientsiden, om nødvendig. Hvis det er et internt bedrifts- eller organisasjonsverktøy, eller tilsvarende proprietært, må du sannsynligvis engasjere teamet på din side.

Hvis de ansatte eller leverandøren for øyeblikket ikke kan oppdatere verktøyene:

Hvis det tekniske personalet ikke er i stand til å gjøre dette, finnes det en teknisk mulighet for deg til å endre de relevante SSH-konfigurasjonene på PowerScale OneFS-siden for å "reaktivere" utdaterte, mindre sikre eller problematiske algoritmer. Se gjennom produktmerknadene for 9.4 der algoritmen ikke lenger er tilgjengelig som klientverktøyet ikke kan finne og forventer

Ved hjelp av de samme metodene som er beskrevet i PowerScale: SSH Key Exchange Algorithm er flagget av sikkerhetssårbarhetsskannere: diffie-hellman-group1-sha1 Du kan endre OneFS-innstillingene slik at OneFS imøtekommer utdatert SSH-klientprogramvare. 

Denne alternative tilnærmingen anbefales ikke, bortsett fra i situasjoner som tidsbegrensede nødsituasjoner der en umiddelbar tilkobling for et bestemt gitt verktøy er nødvendig for en etablert arbeidsflyt, og at SSH-klientsystemene dine fortsatt oppdateres så snart som mulig for din egen sikkerhet. Hvis du bruker denne tilnærmingen til å "komme inn nå", oppfordres du til å gå tilbake til systemet etter at SSH-klientverktøyene dine er reparert og oppgradert, for å deaktivere de svakere algoritmene du aktiverte. 

Dells kundestøttepersonell kan ikke svekke sikkerhetsprofilen til en PowerScale-klynge som dette eller hjelpe til med det selv. Slike justeringer må kjøres av lagringsadministrasjonspersonalet som administrerer PowerScale-klyngene. Dell Support kan heller ikke hjelpe deg med oppdateringer av tredjeparts SSH-klientverktøy på dine lokale datamaskiner og servere, for eksempel PuTTY, WinSCP, terminalverktøy for opprinnelig operativsystem eller tredjepartsprogramvare eller lignende funksjonalitet.

Det ultimate anbefalte handlingsforløpet for din langsiktige sikkerhet er at personalet oppdaterer SSH-klientverktøyene dine for å overholde revidert moderne SSH-algoritmeveiledning.

• Informasjonshuber i PowerScale OneFS
• Gjeldende korrigeringsfiler for PowerScale OneFS
• Isilon: PowerScale: OneFS: Feilsøke ytelsesproblemer