PowerScale: Após o upgrade do OneFS 9.4+, o client SSH não se conecta ao cluster

As mensagens de erro específicas vistas variam muito de acordo com a ferramenta SSH de terceiros. Por exemplo, PuTTY ou outros métodos de conexão SSH, como WinSCP (Windows Secure Copy Protocol) ou outras funções de programação.

A falha específica geralmente é alguma variação de coisas como, mas não limitado a:

• Algoritmo genérico ou erro criptográfico para SSH.
• Não é possível negociar ou encontrar algoritmos desejados ou outra criptografia.

Erros específicos também variam entre as versões de software de terceiros. Devido à escala das possíveis ferramentas SSH, a Dell não mantém uma lista de todos os erros possíveis. 

Se suas ferramentas não conseguirem se conectar ao SSH depois que um upgrade 9.4 for confirmado como concluído, a maneira mais fácil de testar é baixar a versão mais recente de uma ferramenta SSH básica, como PuTTY, ou usar a funcionalidade de terminal SSH existente, se houver em seu sistema operacional, como Windows, macOS, Linux ou UNIX (se você usar ferramentas CLI no nível do sistema operacional, certifique-se de que eles também estejam atualizados e atualizados corretamente).

Se a sua ferramenta "mais recente e melhor" conseguir se conectar ao SSH com sucesso, mas as ferramentas mais antigas ou ainda não atualizadas não puderem se conectar devido a erros como esses, esse problema está afetando você.

A confirmação do suporte técnico de que esse problema afeta você não pode ser obtida sem fornecer logs do lado do cliente de seus sistemas locais para análise. 

Se sua ferramenta não apresentar erros claros e for de um fornecedor comercial, e você não tiver certeza de como ou onde obter os logs relacionados ao SSH dessa ferramenta, a Dell não manterá dados de suporte sobre esses fornecedores terceirizados. Entre em contato diretamente com seu fornecedor para obter ajuda e localizar esses logs no lado do client. Se for uma ferramenta interna da empresa ou da organização, ou igualmente proprietária, você deve envolver essa equipe do seu lado.

Isso tem uma causa simples. Como é uma prática recomendada, sempre analise as Notas da versão de ponta a ponta com as partes interessadas trabalhando na solução de armazenamento e fazendo a manutenção dela antes do upgrade, se você precisar ajustar quaisquer sistemas locais downstream devido a alterações de entrada.

Os detalhes específicos aqui são encontrados nas notas da versão do OneFS/Isilon 9.4:

• Documentação do OneFS 9.4.0.0: hub de informações do PowerScale 
• Notas da versão do OneFS 9.4

As páginas 4 a 5 das Notas da versão 9.4 abordam o tópico.

Certos algoritmos criptográficos menos seguros ou inseguros foram preteridos e removidos do nosso produto. Ferramentas desatualizadas de client SSH de terceiros podem falhar ao se conectar até que sejam atualizadas. Isso se deve a ferramentas mais antigas de client SSH tentando envolver o serviço SSH no lado do OneFS e tentando negociar algoritmos que não estão mais presentes.

Isso sempre falha, pois um lado (o lado do client) está tentando usar algo que não está mais disponível (no lado do cluster de armazenamento). 

Essa falha no client ao se conectar pelo SSH ocorreria se a ferramenta do client tentasse se conectar a qualquer host de rede para SSH, se o sistema de destino não tivesse os algoritmos que deseja usar. Com o passar do tempo, se as ferramentas do client SSH não forem atualizadas rotineiramente, você eventualmente não conseguirá se conectar a mais sistemas, pois esses sistemas também atualizarão sua segurança. A correção mais fácil de forma contínua é sempre manter as ferramentas do client SSH atualizadas.

Aprimoramentos periódicos de segurança como esse são padrão em praticamente todas as tecnologias relacionadas em todo o setor, em resposta a análises e desafios de segurança contínuos. 

Um incidente anterior de upgrades de criptografia do PowerScale que exigiram ajustes nas ferramentas do lado do cliente envolveu algoritmos diferentes e foi detalhado no PowerScale: O algoritmo de troca de chaves SSH é sinalizado pelos scanners de vulnerabilidade de segurança: diffie-hellman-group1-sha1. 

Faça upgrade das ferramentas do client SSH:

A solução recomendada é atualizar todas as ferramentas problemáticas do client SSH para acomodar requisitos revisados de algoritmo criptográfico no lado do host de destino (o cluster do PowerScale). Esta é a opção mais segura para sua segurança.

Se você tiver validado o upgrade do conjunto de ferramentas e ele ainda não conseguir se conectar, teste primeiro essa mesma conexão SSH em sua rede, conforme recomendado com outra ferramenta de terceiros moderna e de última versão, como PuTTY (mesmo que você precise fazer esse teste novamente), antes de entrar em contato com o suporte do PowerScale. Ter essa comparação é importante para a solução de problemas.

Você também deve obter logs completos do client SSH não editados mostrando falhas e quaisquer algoritmos oferecidos e disponíveis. O apoio deve saber o que ambos os lados estão comunicando um com o outro na íntegra.

Se sua ferramenta não apresentar erros claros e for de um fornecedor comercial, e você não tiver certeza de como ou onde obter logs relacionados ao SSH dessa ferramenta, a Dell não manterá os dados de suporte desses fornecedores terceirizados, há muitos para rastrearmos isso. Entre em contato diretamente com seu fornecedor ou com a equipe de TI para obter ajuda para localizar esses logs do "lado do cliente", se necessário. Se for uma ferramenta interna da empresa ou da organização, ou igualmente proprietária, você provavelmente deve envolver essa equipe ao seu lado.

Se sua equipe ou fornecedor não conseguir atualizar suas ferramentas no momento:

Se sua equipe técnica não puder fazer isso, existe a possibilidade técnica de você modificar, por conta própria, as configurações relevantes de SSH no lado do PowerScale OneFS para "reativar" algoritmos desatualizados, menos seguros ou problemáticos. Analise as Notas da versão do 9.4 para qual algoritmo não está mais disponível que sua ferramenta client não consegue encontrar e espera.

Usando os mesmos métodos detalhados no PowerScale: O algoritmo de troca de chave SSH é sinalizado pelos scanners de vulnerabilidade de segurança: diffie-hellman-group1-sha1 você pode modificar as configurações do OneFS para fazer com que o OneFS acomode o software cliente SSH desatualizado. 

Essa abordagem alternativa não é recomendada, exceto em situações como emergências por tempo limitado, em que uma conexão imediata para uma determinada ferramenta específica é necessária para um fluxo de trabalho estabelecido e que seus sistemas cliente SSH ainda sejam atualizados o mais rápido possível para sua própria segurança. Se você usar essa abordagem para "entrar agora", será recomendável voltar ao sistema depois que as ferramentas do cliente SSH forem reparadas e atualizadas, para desativar os algoritmos mais fracos que você habilitou. 

A equipe do Suporte Dell não pode enfraquecer o perfil de segurança de um cluster do PowerScale como esse nem ajudar com isso por conta própria. Esses ajustes devem ser executados pela equipe de administração de armazenamento que gerencia os clusters do PowerScale. O Suporte Dell também não pode ajudar em nenhuma atualização de ferramentas SSH client de terceiros em seus computadores e servidores locais, como PuTTY, WinSCP, ferramentas nativas do tipo terminal do sistema operacional ou qualquer software de fornecedor de terceiros ou funcionalidade semelhante.

O curso de ação final recomendado para sua segurança de longo prazo é que sua equipe atualize suas ferramentas de cliente SSH para cumprir a orientação moderna revisada do algoritmo SSH.

• Hubs de informações do PowerScale OneFS
• Patches atuais do PowerScale OneFS
• Isilon: PowerScale: OneFS: Solução de problemas de desempenho