PowerScale: Po uaktualnieniu OneFS do wersji 9.4+ klient SSH nie łączy się z klastrem

Konkretne wyświetlane komunikaty o błędach różnią się znacznie w zależności od narzędzia SSH innej firmy. Na przykład PuTTY lub inne metody połączenia SSH, takie jak Windows Secure Copy Protocol (WinSCP) lub inne funkcje programowania.

Konkretna awaria to zwykle pewna odmiana takich rzeczy, jak między innymi:

• Ogólny algorytm lub błąd kryptograficzny dla SSH.
• Nie może negocjować ani znaleźć poszukiwanych algorytmów lub innej kryptografii.

Konkretne błędy różnią się również w zależności od wersji oprogramowania innych firm. Ze względu na skalę możliwych narzędzi SSH firma Dell nie prowadzi listy wszystkich możliwych błędów. 

Jeśli narzędzia nie mogą połączyć się z SSH po potwierdzeniu aktualizacji 9.4 jako zakończonej, najłatwiejszym sposobem przetestowania jest pobranie najnowszej wersji podstawowego narzędzia SSH, takiego jak PuTTY, lub użycie istniejącej funkcji terminala SSH, jeśli jest obecna w systemie operacyjnym, takim jak Windows, macOS, Linux lub UNIX (jeśli używasz narzędzi CLI na poziomie systemu operacyjnego, upewnić się, że są one również aktualne i odpowiednio aktualizowane).

Jeśli Twoje "najnowsze i najlepsze" narzędzie może pomyślnie połączyć się z SSH, ale starsze lub jeszcze niezaktualizowane narzędzia nie mogą nawiązać połączenia z powodu takich błędów, ten problem dotyczy Ciebie.

Nie można uzyskać potwierdzenia, że problem dotyczy Ciebie, bez udostępnienia do sprawdzenia dzienników po stronie klienta z systemów lokalnych. 

Jeśli dane narzędzie nie powoduje wyraźnych błędów i pochodzi od komercyjnego dostawcy, a użytkownik nie ma pewności, jak i gdzie uzyskać dzienniki związane z SSH z tego narzędzia, firma Dell nie przechowuje danych pomocy technicznej takich dostawców. Skontaktuj się bezpośrednio z dostawcą, aby uzyskać pomoc w znalezieniu takich dzienników po stronie klienta. Jeśli jest to wewnętrzne narzędzie korporacyjne lub organizacyjne, lub podobnie zastrzeżone, musisz zaangażować ten zespół po swojej stronie.

Ma to prostą przyczynę. Zgodnie z najlepszą praktyką, przed aktualizacją należy zawsze zapoznać się z informacjami dotyczącymi wydania wraz z interesariuszami pracującymi nad rozwiązaniem pamięci masowej i konserwującymi je, jeśli konieczne jest dostosowanie jakichkolwiek dalszych systemów lokalnych ze względu na przychodzące zmiany.

Szczegółowe informacje można znaleźć w informacjach dotyczących wydania OneFS 9.4 OneFS/Isilon:

• Dokumentacja OneFS 9.4.0.0 — Centrum informacji PowerScale 
• Informacje dotyczące wydania OneFS 9.4

Strony 4-5 informacji dotyczących wydania 9.4 omawiają ten temat.

Niektóre mniej bezpieczne lub niezabezpieczone algorytmy kryptograficzne zostały wycofane i usunięte z naszego produktu. Nieaktualne narzędzia klienckie SSH innych firm mogą nie nawiązać połączenia, dopóki nie zostaną zaktualizowane. Dzieje się tak ze względu na to, że starsze narzędzia klienckie SSH próbują zaangażować usługę SSH po stronie OneFS i próbują negocjować algorytmy, które nie są już obecne.

Ta operacja zawsze kończy się niepowodzeniem, ponieważ jedna strona (po stronie klienta) próbuje użyć czegoś, co nie jest już dostępne (po stronie klastra pamięci masowej). 

Ten błąd po stronie klienta w nawiązaniu połączenia przez SSH wystąpi, jeśli narzędzie klienckie spróbuje połączyć się z dowolnym hostem sieciowym dla SSH, jeśli ten system docelowy nie ma algorytmów, których chce użyć. Z biegiem czasu, jeśli narzędzia klienckie SSH nie są rutynowo aktualizowane, ostatecznie nie można połączyć się z większą liczbą systemów, ponieważ te systemy również aktualizują swoje zabezpieczenia. Najprostszym bieżącym korygowaniem jest ciągłe aktualizowanie narzędzi klienckich SSH.

Takie okresowe ulepszenia zabezpieczeń są standardem w praktycznie wszystkich powiązanych technologiach w całej branży w odpowiedzi na bieżące przeglądy i wyzwania związane z bezpieczeństwem. 

Poprzedni incydent aktualizacji kryptografii PowerScale wymagających dostosowania narzędzi po stronie klienta dotyczył różnych algorytmów i został szczegółowo opisany w PowerScale: Algorytm wymiany kluczy SSH jest oznaczony przez skanery luk w zabezpieczeniach: diffie-hellman-group1-sha1. 

Uaktualnij narzędzia klienckie SSH:

Zalecanym rozwiązaniem jest aktualizacja wszystkich problematycznych narzędzi klienckich SSH w celu dostosowania do zmienionych wymagań algorytmu kryptograficznego po stronie hosta docelowego (klaster PowerScale). To najbezpieczniejsza opcja dla Twojego bezpieczeństwa.

Jeśli aktualizacja zestawu narzędzi została zweryfikowana, ale połączenie nadal nie występuje, przed skontaktowaniem się z pomocą techniczną PowerScale najpierw przetestuj to samo połączenie SSH w sieci, zgodnie z zaleceniami, za pomocą innego nowoczesnego narzędzia innej firmy, takiego jak PuTTY (nawet jeśli musisz wykonać ten test ponownie). Takie porównanie jest ważne przy rozwiązywaniu problemów.

Należy również uzyskać pełne, niezredagowane dzienniki klienta SSH pokazujące błędy oraz wszelkie oferowane i dostępne algorytmy. Wsparcie musi w pełni wiedzieć, co obie strony komunikują sobie nawzajem.

Jeśli dane narzędzie nie zgłasza wyraźnych błędów i pochodzi od komercyjnego dostawcy, a użytkownik nie ma pewności, jak i gdzie uzyskać dzienniki związane z SSH z tego narzędzia, firma Dell nie przechowuje danych pomocy technicznej takich dostawców zewnętrznych. Jest ich zbyt wielu, abyśmy mogli to śledzić. Aby uzyskać pomoc w znalezieniu takich dzienników "po stronie klienta", skontaktuj się bezpośrednio z dostawcą lub personelem działu IT. Jeśli jest to wewnętrzne narzędzie korporacyjne lub organizacyjne, lub podobnie zastrzeżone, prawdopodobnie musisz zaangażować ten zespół po swojej stronie.

Jeśli Twoi pracownicy lub dostawca nie mogą obecnie zaktualizować Twoich narzędzi:

Jeśli personel techniczny nie jest w stanie tego zrobić, istnieje techniczna możliwość samodzielnego zmodyfikowania odpowiednich konfiguracji SSH po stronie PowerScale OneFS w celu "ponownego włączenia" nieaktualnych, mniej bezpiecznych lub problematycznych algorytmów. Zapoznaj się z informacjami dotyczącymi wydania 9.4, dla których algorytm nie jest już dostępny, a narzędzie klienckie nie może znaleźć i oczekuje.

Stosowanie tych samych metod opisanych w programie PowerScale: Algorytm wymiany kluczy SSH jest oznaczony przez skanery luk w zabezpieczeniach: diffie-hellman-group1-sha1 można zmodyfikować ustawienia OneFS, aby OneFS obsługiwał przestarzałe oprogramowanie klienckie SSH. 

To alternatywne podejście nie jest zalecane, z wyjątkiem sytuacji, takich jak ograniczone czasowo sytuacje awaryjne, w których dla ustalonego przepływu pracy wymagane jest natychmiastowe połączenie z określonym danym narzędziem, a systemy klienckie SSH są aktualizowane tak szybko, jak to możliwe dla własnego bezpieczeństwa. Jeśli użyjesz tego podejścia, aby "wejść teraz", zachęcamy do powrotu do systemu po naprawie i aktualizacji narzędzi klienckich SSH, aby wyłączyć słabsze algorytmy, które włączyłeś. 

Pracownicy Dell Support nie mogą osłabić profilu zabezpieczeń klastra PowerScale, takiego jak ten, ani pomóc w tym samodzielnie. Takie zmiany muszą być wykonywane przez personel administracji pamięci masowej, który zarządza klastrami PowerScale. Dział pomocy technicznej firmy Dell nie jest również w stanie pomóc w aktualizacjach klienckich narzędzi SSH innych firm na lokalnych komputerach i serwerach, takich jak PuTTY, WinSCP, natywne narzędzia terminalowe systemu operacyjnego lub oprogramowanie innych producentów lub podobne funkcje.

Najlepszym zalecanym sposobem działania dla długoterminowego bezpieczeństwa jest zaktualizowanie przez personel narzędzi klienckich SSH w celu zapewnienia zgodności ze zmienionymi nowoczesnymi wytycznymi dotyczącymi algorytmu SSH.

• Centra informacji PowerScale OneFS
• Aktualne poprawki PowerScale OneFS
• Isilon: PowerScale: OneFS: Rozwiązywanie problemów z wydajnością