PowerScale: Efter uppgraderingen OneFS 9.4+ ansluter inte SSH-klienten till klustret

Specifika felmeddelanden som visas varierar kraftigt beroende på det specifika SSH-verktyget från tredje part. Till exempel PuTTY eller andra SSH-anslutningsmetoder som Windows Secure Copy Protocol (WinSCP) eller andra programmeringsfunktioner.

Det specifika felet är vanligtvis någon variant av saker som, men inte begränsat till:

• Allmän algoritm eller kryptografiskt fel för SSH.
• Det går inte att förhandla eller hitta önskade algoritmer eller annan kryptografi.

Specifika fel varierar också mellan olika programvaruversioner från tredje part. På grund av omfattningen av möjliga SSH-verktyg har Dell inte en lista över alla möjliga fel. 

Om dina verktyg inte kan ansluta till SSH efter att en 9.4-uppgradering har bekräftats som slutförd, är det enklaste sättet att testa att ladda ner den senaste versionen av ett grundläggande SSH-verktyg som PuTTY eller använda befintlig SSH-terminalfunktion om den finns på ditt operativsystem, till exempel Windows, macOS, Linux eller UNIX (Om du använder CLI-verktyg på OS-nivå, se till att de också är aktuella och uppdateras på rätt sätt).

Om ditt "senaste och bästa" verktyg kan ansluta till SSH framgångsrikt, men dina äldre eller ännu inte uppdaterade verktyg inte kan ansluta på grund av fel som dessa, påverkar det här problemet dig.

Bekräftelse från teknisk support på att det här problemet påverkar dig kan inte erhållas utan att tillhandahålla loggar på klientsidan från dina lokala system för granskning. 

Om verktyget inte uppvisar några tydliga fel och kommer från en kommersiell leverantör, och du inte är säker på hur eller var du kan hämta de SSH-relaterade loggarna från det verktyget, behåller Dell inte supportdata för sådana tredjepartsleverantörer. Kontakta leverantören direkt om du vill ha hjälp med att hitta sådana loggar på klientsidan. Om det är ett internt företags- eller organisationsverktyg, eller liknande proprietärt, måste du engagera det teamet på din sida.

Detta har en enkel orsak. Vi rekommenderar att du alltid läser viktig information från början till slut med intressenter som arbetar med och underhåller lagringslösningen före uppgraderingen, om du måste justera lokala system nedströms på grund av inkommande ändringar.

Den specifika informationen här finns i OneFS 9.4-versionskommentarerna för OneFS/Isilon:

• OneFS 9.4.0.0 Dokumentation – PowerScale Informationshubb 
• Versionskommentarer för OneFS 9.4

Sidorna 4–5 i versionskommentarerna till 9.4 behandlar ämnet.

Vissa mindre säkra eller osäkra kryptografiska algoritmer har blivit inaktuella och tagits bort från vår produkt. Inaktuella SSH-klientverktyg från tredje part kan misslyckas med att ansluta förrän de uppdateras. Detta beror på att äldre SSH-klientverktyg försöker engagera SSH-tjänsten på OneFS-sidan och försöker förhandla om algoritmer som inte längre finns.

Detta misslyckas alltid, eftersom en sida (klientsidan) försöker använda något som inte längre är tillgängligt (på lagringsklustersidan). 

Det här felet på klientsidan att ansluta via SSH skulle inträffa om klientverktyget försöker ansluta till en nätverksvärd för SSH, om målsystemet inte har de algoritmer som det vill använda. Med tiden, om dina SSH-klientverktyg inte uppdateras regelbundet, misslyckas du så småningom med att ansluta till fler system eftersom dessa system också uppdaterar sin säkerhet. Den enklaste åtgärden löpande är att alltid hålla SSH-klientverktygen uppdaterade.

Periodiska säkerhetsförbättringar som denna är standard på praktiskt taget all relaterad teknik i hela branschen som svar på pågående säkerhetsgranskningar och utmaningar. 

En tidigare incident med uppgraderingar av PowerScale-kryptografi som krävde justeringar av verktyg på klientsidan involverade olika algoritmer och beskrevs i PowerScale: SSH Key Exchange Algorithm flaggas av skannrar för säkerhetsproblem: diffie-hellman-group1-sha1. 

Uppgradera dina SSH-klientverktyg:

Den rekommenderade lösningen är att uppdatera eventuella problematiska SSH-klientverktyg för att tillgodose reviderade krav på kryptografiska algoritmer på målvärdsidan (PowerScale-klustret). Detta är det säkraste alternativet för din säkerhet.

Om du har validerat uppgraderingen av verktygsuppsättningen och det fortfarande inte går att ansluta ska du se till att testa samma SSH-anslutning i nätverket först, vilket rekommenderas med ett annat modernt, senaste tredjepartsverktyg, till exempel PuTTY (även om du måste göra om testet) innan du kontaktar PowerScale-supporten. Det är viktigt att ha den jämförelsen vid felsökning.

Du måste också hämta fullständiga oredigerade SSH-klientloggar som visar fel och alla erbjudna och tillgängliga algoritmer. Supporten måste veta vad båda sidor kommunicerar till varandra i sin helhet.

Om ditt verktyg inte uppvisar tydliga fel och kommer från en kommersiell leverantör, och du inte är säker på hur eller var du kan få SSH-relaterade loggar från det verktyget, behåller Dell inte supportdata för sådana tredjepartsleverantörer. Det finns för många för att vi ska kunna spåra det. Kontakta leverantören eller IT-personalen direkt för att få hjälp med att hitta sådana loggar på klientsidan om det behövs. Om det är ett internt företags- eller organisationsverktyg, eller liknande proprietärt, måste du troligen engagera det teamet på din sida.

Om din personal eller leverantör för närvarande inte kan uppdatera dina verktyg:

Om den tekniska personalen inte kan göra detta finns det en teknisk möjlighet för dig att på egen hand ändra relevanta SSH-konfigurationer på PowerScale OneFS-sidan för att "återaktivera" föråldrade, mindre säkra eller problematiska algoritmer. Läs versionskommentarerna för 9.4 om vilken algoritm som inte längre är tillgänglig och som klientverktyget inte kan hitta och förväntar sig.

Med samma metoder som beskrivs i PowerScale: SSH Key Exchange Algorithm flaggas av skannrar för säkerhetsproblem: diffie-hellman-group1-sha1 Du kan ändra OneFS-inställningarna så att OneFS rymmer föråldrad SSH-klientprogramvara. 

Detta alternativa tillvägagångssätt rekommenderas inte förutom i situationer som tidsbegränsade nödsituationer där en omedelbar anslutning för ett specifikt visst verktyg krävs för ett etablerat arbetsflöde, och att dina SSH-klientsystem fortfarande uppdateras så snart som möjligt för din egen säkerhet. Om du använder den här metoden för att "komma in nu" uppmanas du att gå tillbaka till systemet efter att dina SSH-klientverktyg har reparerats och uppgraderats, för att inaktivera de svagare algoritmerna som du har aktiverat. 

Dells supportpersonal kan inte försvaga säkerhetsprofilen för ett PowerScale-kluster som detta, eller hjälpa till med det själva. Sådana justeringar måste köras av lagringsadministrationspersonalen som hanterar PowerScale-klustren. Dells support kan inte heller hjälpa till med uppdateringar av SSH-verktyg från tredje part på dina lokala datorer och servrar, t.ex. PuTTY, WinSCP, inbyggda operativsystemsverktyg av terminaltyp, programvara från tredjepartsleverantörer eller liknande funktioner.

Den ultimata rekommenderade åtgärden för din långsiktiga säkerhet är att din personal uppdaterar dina SSH-klientverktyg så att de överensstämmer med den reviderade moderna SSH-algoritmvägledningen.

• PowerScale OneFS informationshubbar
• Aktuella korrigeringsfiler för PowerScale OneFS
• Isilon: PowerScale: OneFS: Felsökning av prestandaproblem