PowerScale:OneFS 9.4+ 升级后,SSH 客户端无法连接到群集

Summary: 了解如何解决升级到 OneFS 9.4 后由于弃用的加密算法而导致的 SSH 连接问题。获取有关如何解决这些错误的见解。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

看到的具体错误消息因特定的第三方 SSH 工具而有很大差异。例如,PuTTY或其他SSH连接方法,如Windows安全拷贝协议(WinSCP)或其他编程功能。

具体故障通常是以下方面的一些变体,包括但不限于:

  • SSH 的通用算法或加密错误。
  • 无法协商或查找所需的算法或其他加密。

具体错误也会因第三方软件版本而异。由于可能的 SSH 工具的规模,戴尔不会保留所有可能错误的列表。

如果您的工具在确认 9.4 升级完成后无法连接到 SSH,则最简单的测试方法是下载基本 SSH 工具(如 PuTTY)的最新版本,或使用操作系统(如 Windows、macOS、Linux 或 UNIX)上存在的现有 SSH 终端功能(如果您使用操作系统级 CLI 工具, 确保 它们 也是最新的并且已正确更新)。

如果您的“最新和最好的”工具可以成功连接到 SSH,但您的旧工具或尚未更新的工具由于此类错误而无法连接,则此问题正在影响您。

如果没有提供来自您本地系统的客户端日志以供审查,则无法获得技术支持部门关于此问题影响您的确认。

如果您的工具未显示明显的错误并且来自商业供应商,并且您不确定如何或从何处从该工具获取与 SSH 相关的日志,则戴尔不会保留此类第三方供应商的支持数据。请直接联系您的供应商,以获取查找此类客户端日志的帮助。如果它是公司或组织内部工具,或者类似的专有工具,您必须让该团队与您接洽。

Cause

原因很简单。最佳做法是,如果由于入站更改而必须调整任何下游本地系统,则在升级之前,请始终与利益相关者一起查看发行说明,并维护您的存储解决方案。

有关此处的具体详细信息,请参阅适用于 OneFS/Isilon 的 OneFS 9.4 发行说明:

9.4 发行说明的第 4-5 页介绍了该主题。

某些安全性较低或不安全的加密算法已弃用,并从我们的产品中删除。过时的第三方 SSH 客户端工具在更新之前可能无法连接。这是因为较旧的 SSH 客户端工具尝试在 OneFS 端使用 SSH 服务,并尝试协商不再存在的算法。

这始终会失败,因为一端(客户端)正在尝试使用不再可用的内容(在存储群集端)。

如果该客户端工具尝试连接到任何网络主机进行 SSH,并且该目标系统没有想要使用的算法,则会发生此客户端无法通过 SSH 连接的情况。随着时间的推移,如果您的 SSH 客户端工具未定期更新,您最终无法连接到更多系统,因为这些系统也会更新其安全性。持续的最简单补救措施是始终使 SSH 客户端工具保持最新状态。

为了应对持续的安全审查和挑战,像这样的定期安全增强几乎是整个行业所有相关技术的标准。

以前发生的 PowerScale 加密升级事件需要调整客户端工具,其中涉及不同的算法,PowerScale 中对此进行了详细介绍:SSH 密钥交换算法由安全漏洞扫描程序标记:diffie-hellman-group1-sha1。 

Resolution

升级 SSH 客户端工具:

建议的解决方案是更新任何有问题的 SSH 客户端工具,以适应目标主机端(PowerScale 群集)上修订后的加密算法要求。这是最安全的选项,以确保您的安全。

如果您已验证工具集升级,但仍然无法连接,请确保在联系 PowerScale 支持之前,先按照建议使用另一个现代、最新版本的第三方工具(如 PuTTY)在您的网络上测试相同的 SSH 连接(即使您必须再次执行此测试)。进行比较对于故障处理非常重要。

您还必须获取完整的未编辑 SSH 客户端日志,其中显示故障以及任何提供和可用的算法。支持人员必须了解双方正在向对方全面传达的内容。

如果您的工具未显示明显的错误并且来自商业供应商,并且您不确定如何或从何处从该工具获取与 SSH 相关的日志,则戴尔不会保留此类第三方供应商的支持数据,因为第三方供应商太多,我们无法跟踪。如果需要,请直接联系您的供应商或 IT 人员,以帮助查找此类“客户端”日志。如果它是公司或组织内部工具,或类似的专有工具,您可能必须让该团队与您接洽。

如果您的员工或供应商目前无法更新您的工具:

如果您的技术人员无法做到这一点, 则您可以在技术 上自行修改 PowerScale OneFS 端上的相关 SSH 配置,以“重新启用”过时、不太安全或有问题的算法。查看 9.4 发行说明,了解客户端工具无法找到且期望的算法不再可用。

使用 PowerScale 中详细介绍的相同方法:安全漏洞扫描程序标记了 SSH 密钥交换算法:diffie-hellman-group1-sha1 您可以修改 OneFS 设置,以使 OneFS 适应过时的 SSH 客户端软件。

不建议采用这种替代方法,除非在有时间限制的紧急情况下,即已建立的工作流需要立即连接特定给定工具,并且为了您自己的安全,您的 SSH 客户端系统仍会尽快更新。如果您使用此方法“立即进入”,则建议您在修复和升级 SSH 客户端工具后返回系统,以禁用您启用的较弱算法。

戴尔支持人员不能像这样弱化 PowerScale 群集的安全配置文件,自己也不能提供帮助。此类调整必须由管理 PowerScale 群集的存储管理人员进行。戴尔支持也无法协助您更新本地计算机和服务器上的第三方客户端 SSH 工具,例如 PuTTY、WinSCP、本机操作系统终端类工具或任何第三方供应商软件或类似功能。

为了长期安全,最终建议采取的行动方案是,您的员工更新您的 SSH 客户端工具,以符合修订后的现代 SSH 算法指南。

Additional Information

相关资源
以下是一些与此主题相关的推荐资源,您可能会感兴趣:
Article Properties
Article Number: 000213918
Article Type: Solution
Last Modified: 31 Jan 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.