PowerScale. После модернизации OneFS 9.4+ клиент SSH не подключается к кластеру

Конкретные отображаемые сообщения об ошибках сильно различаются в зависимости от конкретного стороннего инструмента SSH. Например, PuTTY или другие методы подключения SSH, такие как Windows Secure Copy Protocol (WinSCP), или другие функции программирования.

Конкретная неисправность обычно представляет собой некоторые из таких вещей, как, но не ограничиваются:

• Общая ошибка алгоритма или криптографическая ошибка для SSH.
• Не может вести переговоры или находить нужные алгоритмы или другую криптографию.

Конкретные ошибки также различаются в зависимости от версии стороннего программного обеспечения. Из-за большого количества возможных инструментов SSH Dell не ведет список всех возможных ошибок. 

Если ваши инструменты не могут подключиться к SSH после того, как обновление до версии 9.4 подтверждено как завершенное, самый простой способ проверки — скачать последнюю версию базового средства SSH, такого как PuTTY, или использовать существующие функции терминала SSH, если они присутствуют в вашей операционной системе, например Windows, macOS, Linux или UNIX. Убедитесь, что они также актуальны и обновлены должным образом.

Если ваш самый новый и лучший инструмент может успешно подключиться к SSH, но старые или еще не обновленные инструменты не могут подключиться из-за подобных ошибок, эта проблема затрагивает вас.

Подтверждение этой проблемы в службе технической поддержки невозможно получить без предоставления журналов на стороне клиента из ваших локальных систем для проверки. 

Если ваш инструмент не предоставляет явных ошибок и является продуктом коммерческого поставщика, и вы не знаете, как и где получить журналы, связанные с SSH, с помощью этого инструмента, Dell не хранит данные о поддержке таких сторонних поставщиков. Чтобы найти такие журналы на стороне клиента, обратитесь непосредственно к своему поставщику. Если это внутренний корпоративный или организационный инструмент, или аналогичный проприетарный, вы должны привлечь эту команду на свою сторону.

Причина проста. В соответствии с передовой практикой всегда просматривайте примечания к выпуску от начала до конца вместе с заинтересованными сторонами, которые работают над вашим решением для хранения и обслуживают его, перед модернизацией, если вам потребуется скорректировать какие-либо нижестоящие локальные системы из-за входящих изменений.

Подробные сведения см. в примечаниях к выпуску OneFS 9.4 для OneFS/Isilon.

• Документация по OneFS 9.4.0.0 — информационный центр PowerScale 
• Примечания к выпуску OneFS 9.4

Данная тема приведена на страницах 4–5 Примечаний к выпуску 9.4.

Некоторые менее безопасные или небезопасные криптографические алгоритмы были объявлены устаревшими и удалены из нашего продукта. Устаревшие сторонние клиентские средства SSH могут не подключаться до обновления. Это связано с тем, что старые клиентские инструменты SSH пытаются привлечь службу SSH на стороне OneFS и согласовывают алгоритмы, которых больше нет.

Это всегда приводит к неудаче, так как одна сторона (клиентская) пытается использовать что-то, что больше не доступно (на стороне кластера хранения). 

Этот сбой подключения на стороне клиента по протоколу SSH может произойти, если клиентское средство попытается подключиться к любому сетевому хосту для SSH, если целевая система не использует нужные алгоритмы. Со временем, если средства клиента SSH не обновляются регулярно, вы в конечном итоге не сможете подключиться к большему количеству систем, так как эти системы также обновляют свои системы безопасности. Самое простое решение проблемы на постоянной основе — всегда обновлять клиентские инструменты SSH.

Периодические усовершенствования безопасности, подобные этому, являются стандартными практически для всех связанных технологий в отрасли в ответ на текущие проверки и проблемы безопасности. 

Предыдущий инцидент, когда обновление криптографии PowerScale, потребовало корректировки клиентских инструментов, включал другие алгоритмы и был подробно описан в PowerScale: Алгоритм обмена ключами SSH помечен сканерами уязвимостей безопасности: diffie-hellman-group1-sha1. 

Обновите средства клиента SSH:

Рекомендуемое решение — обновить все проблемные клиентские инструменты SSH, чтобы они соответствовали пересмотренным требованиям криптографических алгоритмов на стороне целевого хоста (кластера PowerScale). Это самый безопасный вариант для вашей безопасности.

Если вы утвердили обновление набора инструментов, но подключение по-прежнему не выполняется, перед обращением в службу поддержки PowerScale обязательно сначала протестируйте это же SSH-соединение в вашей сети, как рекомендуется, с помощью другого современного стороннего инструмента последней версии, например PuTTY (даже если вам придется выполнить эту проверку снова). Такое сравнение важно для поиска и устранения неисправностей.

Кроме того, необходимо получить полные, неотредактированные журналы клиента SSH, показывающие сбои и все предлагаемые и доступные алгоритмы. Служба поддержки должна в полной мере знать, что обе стороны сообщают друг другу.

Если ваш инструмент не предоставляет явных ошибок и создан коммерческим вендором, и вы не знаете, как и где получить журналы, связанные с SSH, с помощью этого инструмента, Dell не хранит данные о поддержке таких сторонних поставщиков, их слишком много, чтобы мы могли это отследить. При необходимости обратитесь непосредственно к своему поставщику или ИТ-персоналу за помощью в поиске таких журналов на стороне клиента. Если это внутренний корпоративный или организационный инструмент, или аналогичный проприетарный, вам, вероятно, придется привлечь эту команду на свою сторону.

Если ваши сотрудники или поставщик в настоящее время не могут обновить ваши инструменты, выполните следующие действия.

Если ваш технический персонал не может этого сделать, вы можете самостоятельно изменить соответствующие конфигурации SSH на стороне PowerScale OneFS, чтобы повторно включить устаревшие, менее безопасные или проблемные алгоритмы. Ознакомьтесь с примечаниями к выпуску 9.4, для какого алгоритма более не доступен, но который ваш клиентский инструмент не может найти, но ожидает.

С помощью тех же методов, которые описаны в PowerScale: Алгоритм обмена ключами SSH помечен сканерами уязвимостей безопасности: diffie-hellman-group1-sha1 можно изменить параметры OneFS, чтобы в OneFS можно было использовать устаревшее клиентское программное обеспечение SSH. 

Этот альтернативный подход не рекомендуется, за исключением таких ситуаций, как чрезвычайные ситуации с ограничением по времени, когда требуется немедленное подключение к конкретному инструменту для налаженного рабочего процесса, и чтобы ваши клиентские системы SSH по-прежнему обновлялись как можно скорее для вашей собственной безопасности. Если вы используете этот подход, чтобы «войти сейчас», вам рекомендуется вернуться в систему после ремонта и обновления клиентских инструментов SSH, чтобы отключить более слабые алгоритмы, которые вы включили. 

Сотрудники службы поддержки Dell не могут ослабить профиль безопасности кластера PowerScale подобным образом или помочь с этим самостоятельно. Такие корректировки должны выполняться специалистами по администрированию хранилища, которые управляют кластерами PowerScale. Служба поддержки Dell также не может помочь с обновлением сторонних клиентских средств SSH на ваших локальных компьютерах и серверах, таких как PuTTY, WinSCP, встроенные средства терминала операционной системы, ПО сторонних поставщиков или аналогичных функций.

Конечная рекомендуемая процедура для обеспечения долгосрочной безопасности заключается в том, чтобы ваши сотрудники обновили клиентские инструменты SSH в соответствии с пересмотренными современными рекомендациями по алгоритмам SSH.

• Информационные центры для PowerScale OneFS
• Текущие исправления для PowerScale OneFS
• Isilon. PowerScale. OneFS. Поиск и устранение проблем производительности