PowerScale: Después de la actualización a OneFS 9.4+, el cliente SSH no se conecta al clúster

Los mensajes de error específicos que se ven varían ampliamente en función de la herramienta SSH específica de otros fabricantes. Por ejemplo, PuTTY u otros métodos de conexión SSH, como el protocolo de copia segura de Windows (WinSCP) u otras funciones de programación.

La falla específica suele ser una variación de cosas como, entre otras:

• Error criptográfico o de algoritmo genérico para SSH.
• No se pueden negociar ni encontrar los algoritmos u otra criptografía deseados.

Los errores específicos también varían entre las versiones de software de terceros. Debido a la escala de las posibles herramientas SSH, Dell no mantiene una lista de todos los posibles errores. 

Si las herramientas no se conectan a SSH después de que se confirme que se ha completado una actualización a la versión 9.4, la forma más sencilla de realizar la prueba es descargar la versión más reciente de una herramienta SSH básica, como PuTTY, o utilizar la funcionalidad de terminal SSH existente, si está presente en el sistema operativo, como Windows, macOS, Linux o UNIX (si utiliza herramientas CLI a nivel del sistema operativo, Asegúrese de que también estén actualizados y actualizados correctamente).

Si su herramienta "más reciente y mejor" puede conectarse a SSH correctamente, pero sus herramientas más antiguas o aún no actualizadas no pueden conectarse debido a errores como esos, este problema lo está afectando.

No se puede obtener la confirmación de soporte técnico de que este problema le afecta sin proporcionar los registros del lado del cliente de los sistemas locales para su revisión. 

Si su herramienta no presenta errores claros y es de un proveedor comercial, y no está seguro de cómo o dónde obtener los registros relacionados con SSH de esa herramienta, Dell no conserva los datos de soporte de dichos proveedores externos. Póngase en contacto directamente con su proveedor para obtener ayuda a fin de encontrar dichos registros del lado del cliente. Si se trata de una herramienta corporativa u organizacional interna, o de propiedad similar, debe involucrar a ese equipo de su lado.

Esto tiene una causa simple. Como práctica recomendada, revise siempre las notas de la versión de manera integral con las partes interesadas que trabajan en su solución de almacenamiento y la mantienen antes de la actualización, en caso de que deba ajustar algún sistema local descendente debido a cambios entrantes.

Los detalles específicos se encuentran en las notas de la versión de OneFS 9.4 para OneFS/Isilon:

• Documentación de OneFS 9.4.0.0: centro de información de PowerScale 
• Notas de la versión de OneFS 9.4

En las páginas 4 y 5 de las Notas de la versión 9.4, se aborda el tema.

Algunos algoritmos criptográficos menos seguros o inseguros quedaron obsoletos y se eliminaron de nuestro producto. Es posible que las herramientas de cliente SSH de otros fabricantes obsoletas no se conecten hasta que se actualicen. Esto se debe a que las herramientas de cliente SSH más antiguas intentan comunicarse con el servicio SSH en el lado de OneFS y tratan de negociar algoritmos que ya no están presentes.

Esto siempre falla, ya que un lado (el lado del cliente) intenta utilizar algo que ya no está disponible (en el lado del clúster de almacenamiento). 

Esta falla del lado del cliente para conectarse mediante SSH ocurriría si la herramienta del cliente intenta conectarse a cualquier host de red para SSH, si ese sistema de destino no tiene los algoritmos que desea usar. Con el tiempo, si las herramientas del cliente SSH no se actualizan de forma rutinaria, eventualmente no podrá conectarse a más sistemas, ya que esos sistemas también actualizan su seguridad. La corrección más sencilla de manera continua es mantener siempre actualizadas las herramientas del cliente SSH.

Las mejoras de seguridad periódicas como esta son estándar en prácticamente todas las tecnologías relacionadas en toda la industria en respuesta a las revisiones y los desafíos de seguridad continuos. 

Un incidente anterior de actualizaciones de criptografía de PowerScale que requerían ajustes en las herramientas del lado del cliente involucraba diferentes algoritmos y se detalló en PowerScale: El algoritmo de intercambio de claves SSH está marcado por escáneres de vulnerabilidades de seguridad: diffie-hellman-group1-sha1. 

Actualice las herramientas del cliente SSH:

La solución recomendada es actualizar todas las herramientas de cliente SSH problemáticas para adaptarse a los requisitos revisados del algoritmo criptográfico en el lado del host de destino (el clúster PowerScale). Esta es la opción más segura para su seguridad.

Si validó la actualización del conjunto de herramientas y aún no se puede conectar, asegúrese de probar esa misma conexión SSH en su red primero, según lo recomendado, con otra herramienta moderna y de otros fabricantes con la versión más reciente, como PuTTY (incluso si tiene que volver a realizar esta prueba) antes de comunicarse con el soporte de PowerScale. Tener esa comparación es importante para la solución de problemas.

También debe obtener registros de cliente SSH completos y sin censurar que muestren fallas y cualquier algoritmo ofrecido y disponible. El equipo de soporte debe saber lo que ambas partes se comunican entre sí en su totalidad.

Si su herramienta no presenta errores claros y proviene de un proveedor comercial, y no está seguro de cómo o dónde obtener los registros relacionados con SSH de esa herramienta, Dell no conserva datos de soporte sobre dichos proveedores externos; hay demasiados para que podamos rastrearlos. Comuníquese directamente con su proveedor o con el personal de TI para obtener ayuda a fin de encontrar dichos registros del "lado del cliente", si es necesario. Si se trata de una herramienta corporativa u organizacional interna, o de propiedad similar, es probable que deba involucrar a ese equipo de su lado.

Si su personal o proveedor actualmente no puede actualizar sus herramientas:

Si el personal técnico no puede hacerlo, existe la posibilidad técnica de que modifique por su cuenta las configuraciones de SSH pertinentes en el lado de PowerScale OneFS para "rehabilitar" algoritmos obsoletos, menos seguros o problemáticos. Revise las notas de la versión 9.4 para qué algoritmo ya no está disponible que su herramienta de cliente no puede encontrar y espera.

Con los mismos métodos detallados en PowerScale: El algoritmo de intercambio de claves SSH está marcado por escáneres de vulnerabilidades de seguridad: diffie-hellman-group1-sha1 puede modificar la configuración de OneFS para que OneFS se adapte al software de cliente SSH obsoleto. 

Este enfoque alternativo no se recomienda, excepto en situaciones como emergencias de tiempo limitado en las que se requiere una conexión inmediata para una herramienta determinada específica para un flujo de trabajo establecido y que los sistemas cliente SSH se actualicen lo antes posible por su propia seguridad. Si utiliza este enfoque para "entrar ahora", se le recomienda que regrese al sistema después de reparar y actualizar las herramientas del cliente SSH, para deshabilitar los algoritmos más débiles que habilitó. 

El personal de soporte de Dell no puede debilitar el perfil de seguridad de un clúster PowerScale como este ni ayudar con eso nosotros mismos. El personal de administración de almacenamiento que administra los clústeres de PowerScale debe ejecutar estos ajustes. El soporte de Dell tampoco puede brindar asistencia con respecto a las actualizaciones de herramientas SSH de clientes de terceros en sus computadoras y servidores locales, como PuTTY, WinSCP, herramientas de tipo terminal de sistema operativo nativo o cualquier software de proveedores externos o funcionalidad similar.

El último curso de acción recomendado para su seguridad a largo plazo es que su personal actualice sus herramientas de cliente SSH para cumplir con la guía moderna revisada del algoritmo SSH.

• Centros de información de PowerScale OneFS
• Parches actuales de PowerScale OneFS
• Isilon: PowerScale: OneFS: Resolver problemas de rendimiento