PowerScale: Nach dem Upgrade auf OneFS 9.4+ stellt der SSH-Client keine Verbindung zum Cluster her

Welche Fehlermeldungen angezeigt werden, hängt vom konkreten SSH-Tool des Drittanbieters ab. Zum Beispiel PuTTY oder andere SSH-Verbindungsmethoden wie Windows Secure Copy Protocol (WinSCP) oder andere Programmierfunktionen.

Der spezifische Fehler ist in der Regel eine Variation von Dingen wie, aber nicht beschränkt auf:

• Generischer Algorithmus oder kryptografischer Fehler für SSH.
• Kann nicht verhandeln oder gesuchte Algorithmen oder andere Kryptographie finden.

Spezifische Fehler variieren auch je nach Softwareversion von Drittanbietern. Aufgrund des Umfangs der möglichen SSH-Tools führt Dell keine Liste aller möglichen Fehler. 

Wenn Ihre Tools keine Verbindung zu SSH herstellen können, nachdem ein 9.4-Upgrade als abgeschlossen bestätigt wurde, besteht die einfachste Möglichkeit zum Testen darin, die neueste Version eines grundlegenden SSH-Tools wie PuTTY herunterzuladen oder vorhandene SSH-Terminalfunktionen zu verwenden, falls auf Ihrem Betriebssystem vorhanden, z. B. Windows, macOS, Linux oder UNIX (Wenn Sie CLI-Tools auf Betriebssystemebene verwenden, Stellen Sie sicher, dass sie auch auf dem neuesten Stand und ordnungsgemäß aktualisiert sind).

Wenn Ihr "neuestes und großartigstes" Tool erfolgreich eine Verbindung zu SSH herstellen kann, Ihre älteren oder noch nicht aktualisierten Tools jedoch aufgrund solcher Fehler keine Verbindung herstellen können, betrifft Sie dieses Problem.

Die Bestätigung des technischen Supports, dass Sie von diesem Problem betroffen sind, kann nicht abgerufen werden, ohne clientseitige Protokolle von Ihren lokalen Systemen zur Überprüfung bereitzustellen. 

Wenn Ihr Tool keine eindeutigen Fehler aufweist und von einem kommerziellen Anbieter stammt und Sie nicht sicher sind, wie oder wo Sie die SSH-bezogenen Protokolle von diesem Tool beziehen können, bewahrt Dell keine Supportdaten zu diesen Drittanbietern auf. Wenden Sie sich direkt an Ihren Anbieter, um Hilfe bei der Suche nach solchen clientseitigen Protokollen zu erhalten. Wenn es sich um ein unternehmens- oder organisationsinternes Tool oder ein ähnliches proprietäres Tool handelt, müssen Sie dieses Team auf Ihre Seite ziehen.

Das hat eine einfache Ursache. Als Best Practice sollten Sie die Versionshinweise vor dem Upgrade immer durchgehend mit den Stakeholdern durchgehen, die an Ihrer Storage-Lösung arbeiten und diese warten, wenn Sie lokale Downstream-Systeme aufgrund eingehender Änderungen anpassen müssen.

Die spezifischen Details finden Sie in den OneFS 9.4-Versionshinweisen für OneFS/Isilon:

• Dokumentation zu OneFS 9.4.0.0 – PowerScale-Info-Hub 
• OneFS 9.4 – Versionshinweise

Das Thema wird auf den Seiten 4 bis 5 der Versionshinweise für 9.4 behandelt.

Bestimmte weniger sichere oder unsichere kryptografische Algorithmen wurden als veraltet markiert und aus unserem Produkt entfernt. Veraltete SSH-Client-Tools von Drittanbietern können möglicherweise bis zur Aktualisierung keine Verbindung herstellen. Dies liegt daran, dass ältere SSH-Clienttools versuchen, den SSH-Service auf der OneFS-Seite einzubinden und nicht mehr vorhandene Algorithmen auszuhandeln.

Dies schlägt immer fehl, da eine Seite (die Clientseite) versucht, etwas zu verwenden, das nicht mehr verfügbar ist (auf der Seite des Storage-Clusters). 

Dieser clientseitige Verbindungsfehler über SSH tritt auf, wenn das Client-Tool versucht, eine Verbindung zu einem beliebigen Netzwerkhost für SSH herzustellen, wenn das Zielsystem nicht über die Algorithmen verfügt, die es verwenden möchte. Wenn Ihre SSH-Client-Tools nicht regelmäßig aktualisiert werden, können Sie mit der Zeit keine Verbindung mehr zu weiteren Systemen herstellen, da diese Systeme auch ihre Sicherheit aktualisieren. Die einfachste fortlaufende Korrektur besteht darin, die SSH-Client-Tools immer auf dem neuesten Stand zu halten.

Regelmäßige Sicherheitsverbesserungen wie diese sind bei praktisch allen verwandten Technologien branchenweit Standard, um auf laufende Sicherheitsüberprüfungen und -herausforderungen zu reagieren. 

Ein früherer Vorfall mit PowerScale-Kryptografieupgrades, der Anpassungen an clientseitigen Tools erforderte, betraf andere Algorithmen und wurde in PowerScale detailliert beschrieben: Der SSH-Schlüsselaustauschalgorithmus wird von Scannern für Sicherheitslücken markiert: diffie-hellman-group1-sha1. 

Aktualisieren Sie Ihre SSH-Client-Tools:

Die empfohlene Lösung besteht darin, alle problematischen SSH-Client-Tools zu aktualisieren, um die geänderten Anforderungen an den kryptografischen Algorithmus auf der Zielhostseite (dem PowerScale-Cluster) zu erfüllen. Dies ist die sicherste Option für Ihre Sicherheit.

Wenn Sie Ihr Toolset-Upgrade validiert haben und es immer noch keine Verbindung herstellen kann, testen Sie zuerst dieselbe SSH-Verbindung in Ihrem Netzwerk, wie empfohlen, mit einem anderen modernen, neuesten Drittanbietertool wie PuTTY (auch wenn Sie diesen Test erneut durchführen müssen), bevor Sie sich an den PowerScale-Support wenden. Dieser Vergleich ist wichtig für die Fehlerbehebung.

Sie benötigen außerdem vollständige, ungeschwärzte SSH-Clientprotokolle, die Fehler und alle angebotenen und verfügbaren Algorithmen anzeigen. Der Support muss vollständig wissen, was beide Seiten miteinander kommunizieren.

Wenn Ihr Tool keine eindeutigen Fehler aufweist und von einem kommerziellen Anbieter stammt und Sie nicht sicher sind, wie oder wo Sie SSH-bezogene Protokolle von diesem Tool erhalten können, speichert Dell keine Supportdaten zu solchen Drittanbietern. Es gibt zu viele, als dass wir das nachverfolgen könnten. Wenden Sie sich bei Bedarf direkt an Ihren Anbieter oder Ihre IT-Mitarbeiter, um Hilfe bei der Suche nach solchen "clientseitigen" Protokollen zu erhalten. Wenn es sich um ein internes Unternehmens- oder Organisationstool oder ein ähnliches proprietäres Tool handelt, müssen Sie dieses Team wahrscheinlich auf Ihre Seite ziehen.

Wenn Ihre Mitarbeiter oder Ihr Lieferant derzeit nicht in der Lage sind, Ihre Tools zu aktualisieren:

Wenn Ihre technischen Mitarbeiter dazu nicht in der Lage sind, besteht die technische Möglichkeit , die relevanten SSH-Konfigurationen auf der PowerScale OneFS-Seite selbst zu ändern, um veraltete, weniger sichere oder problematische Algorithmen wieder zu aktivieren. Lesen Sie die Versionshinweise zu 9.4, für die kein Algorithmus mehr verfügbar ist, den Ihr Client-Tool nicht finden kann und erwartet.

Mit den gleichen Methoden, die in PowerScale beschrieben sind: Der SSH-Schlüsselaustauschalgorithmus wird von Scannern für Sicherheitslücken gekennzeichnet: diffie-hellman-group1-sha1 können Sie die OneFS-Einstellungen ändern, damit OneFS die veraltete SSH-Clientsoftware unterstützt. 

Dieser alternative Ansatz wird nicht empfohlen, außer in Situationen wie zeitlich begrenzten Notfällen, in denen eine sofortige Verbindung für ein bestimmtes Tool für einen festgelegten Workflow erforderlich ist und Ihre SSH-Client-Systeme dennoch so schnell wie möglich zu Ihrer eigenen Sicherheit aktualisiert werden. Wenn Sie diesen Ansatz verwenden, um "jetzt einzusteigen", sollten Sie nach der Reparatur und Aktualisierung Ihrer SSH-Client-Tools wieder in das System zurückkehren, um die schwächeren Algorithmen, die Sie aktiviert haben, zu deaktivieren. 

Die Mitarbeiter des Dell Supports können das Sicherheitsprofil eines solchen PowerScale-Clusters nicht schwächen oder selbst helfen. Solche Anpassungen müssen von Ihren Storage-Verwaltungsmitarbeitern durchgeführt werden, die Ihre PowerScale-Cluster verwalten. Der Dell Support ist auch nicht in der Lage, bei Updates von Client-SSH-Tools von Drittanbietern auf Ihren lokalen Computern und Servern behilflich zu sein, wie z. B. PuTTY, WinSCP, native Betriebssystem-Terminal-Tools oder Software von Drittanbietern oder ähnliche Funktionen.

Die ultimative empfohlene Maßnahme für Ihre langfristige Sicherheit besteht darin, dass Ihre Mitarbeiter Ihre SSH-Client-Tools aktualisieren, um den überarbeiteten Richtlinien für moderne SSH-Algorithmen zu entsprechen.

• PowerScale OneFS Info Hubs
• Aktuelle PowerScale OneFS-Patches
• Isilon: PowerScale: OneFS: Troubleshooting bei Performanceproblemen