Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.
Sign In Create an Account Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Baskets

ECS: Apache log4j 원격 코드 실행 취약성에 대한 ECS 해결 방법

Summary: Apache Log4j 보안 취약성

This article applies to   This article does not apply to 
Check out resources for

Symptoms

CVE 식별자 CVE-2021-44228
CVE 식별자 CVE_2021-45046

Apache 게시글: Apache Log4j 원격 코드 실행 

Cause

Apache Log4j 보안 취약성

Resolution

누가 이 절차를 실행해야 합니까?

Dell은 고객이 xDoctor를 업그레이드하고 패치를 설치하는 이 절차를 수행할 것을 요청합니다. 이 방법은 Apache 취약성에 대한 장기간 노출을 피하기 때문에 가장 빠르고 안전한 방법입니다. 모든 단계는 이 KB에 자세히 설명되어 있습니다. 아래 링크에서 이 KB와 함께 따라 할 수 있는 비디오 가이드도 제공됩니다.

비디오: Apache-Log4j
 

절차의 영향:

서비스를 재시작하는 동안 I/O 시간 초과가 발생할 수 있습니다. 클러스터에 액세스하는 애플리케이션은 I/O 시간 초과를 처리할 수 있어야 합니다. 이 절차를 수행할 때 유지 보수 기간을 사용하는 것이 좋습니다.
 

활동에 소요된 대략적인 시간:

서비스 재시작 사이에 노드별로 약 7분의 지연 시간이 기본적으로 설정됩니다. VDC(Virtual Data Center)의 노드 수에 7분을 곱한 값에 필요한 준비, DT 안정화 및 사후 검사를 위한 60분을 더한 값입니다.
 
예:
48노드 VDC 시스템은 약 6.5시간이 소요될 수 있습니다.
7.5분 X 48(VDC 노드 수) + 30분(준비) = 6.5시간 또는 390분

8노드 VDC 시스템은 약 1.5시간이 소요될 수 있습니다.
7.5분 X 8(VDC 노드 수) + 30분(준비) = 1.5시간 또는 90분


FAQ(자주 묻는 질문):

Q: 패치 부분은 xDoctor 릴리스의 일부입니까?
A: 패치 설치 스크립트는 xDoctor 릴리스 4.8-79.1 이상의 일부분입니다. xDoctor 다운로드 및 패치 설치 실행에 대한 지침은 해결 단계에 있습니다.

Q: 여러 VDC를 동시에 업데이트할 수 있습니까?
A: 아니요. 한 번에 하나의 VDC를 패치합니다.

Q: 코드 버전 3.2.x 이하를 실행하는 ECS에 이 패치를 적용할 수 있습니까?
A: 아니요. 이 패치는 ECS 버전 3.3.x-3.6.x에만 적용됩니다. 서비스 요청을 열어 이전 버전의 업그레이드를 예약합니다.

Q: 이 절차를 실행한 후 ECS를 업그레이드할 경우 업그레이드 후 절차를 다시 실행해야 합니까? 
A: 아니요.영구 수정 사항이 있는 DSA-2021-273에 지정된 코드 버전으로 업그레이드하는 경우 그렇지 않습니다. 예. 이 동일한 DSA에 지정되지 않은 코드 버전으로 업그레이드할 경우 그렇습니다.

Q: 노드 교체, 이미지로 다시 설치 또는 확장 후 이전에 설치한 시스템에 패치를 다시 적용해야 합니까?
A: 아니요. VDC가 DSA-2021-273에 지정된 코드 버전인 경우 그렇지 않습니다. 예. 동일한 DSA에 지정되지 않은 코드 버전을 실행하는 VDC에 대해 이러한 작업을 수행하는 경우 그렇습니다. 이러한 시나리오에 패치가 필요한 경우 업데이트가 필요함을 알리기 위해 해당 Dell 엔지니어가 연락을 드립니다.

Q: 이 KB의 모든 명령을 실행하려면 어떤 사용자로 로그인해야 합니까?
A: admin

Q: svc_patch를 모든 랙에서 실행해야 합니까, 아니면 여러 랙이 VDC에 있는 특수 MACHINES 파일을 사용해야 합니까?
A: 아니요. 여러 랙이 있는지 자동으로 감지하고 해당 VDC의 모든 랙에 있는 모든 노드에 패치를 적용합니다.

Q: 이제 타겟 xDoctor 릴리스가 4.8-79.0이 아니라 4.8-79.1인 것을 알게 되었습니다. 그 이유는 무엇입니까?
A:xDoctor 릴리스는 자주 출시되므로 항상 가장 높은 릴리스 버전으로 업그레이드하는 것이 좋습니다. 그러나 이전에 4.8-79.0을 사용하여 Apache 픽스를 실행한 적이 있으면 시스템이 취약성으로부터 완전히 보호되므로 다시 실행할 필요가 없습니다.


해결 요약:

  1. ECS xDoctor 소프트웨어를 버전 4.8.-79.1 이상으로 업그레이드하십시오.
  2. 사전 검사를 실행합니다.
  3. xDoctor와 함께 제공된 svc_patch 툴을 사용하여 시스템 패치를 적용합니다.
  4. 수정 사항이 적용되었는지 확인합니다.
  5. 문제 해결.


해결 단계:

  1. ECS xDoctor 소프트웨어를 최신 버전으로 업그레이드하십시오.

  1. 시스템에서 실행 중인 xDoctor 버전을 확인합니다. 버전이 4.8-79.1 이상인 경우 2단계 "사전 검사 실행"으로 이동합니다. 그렇지 않은 경우 아래 단계를 진행합니다.
명령: 
# sudo xdoctor --version
 
예: 
admin@node1:~> sudo xdoctor --version 4.8-79.1
  1. 지원 사이트에 로그인하여 이 다운로드 링크에 직접 연결하고 키워드 검색 표시줄을 사용하여 xDoctor를 검색한 다음 xDoctor RPM 링크를 클릭하여 xDoctor rpm을 다운로드합니다. 릴리스 노트를 보려면 ReleaseNotes를 따라 사이드바에서 설명서 및 문서를 선택합니다. 여기서 해당 문서를 다운로드할 수 있습니다.

  2. RPM이 다운로드되면 원격 SCP 프로그램을 사용하여 첫 번째 ECS 노드의 /home/admin 디렉토리에 파일을 업로드합니다.

  3. 업로드가 완료되면 admin을 사용하여 SSH를 통해 ECS 시스템의 첫 번째 노드로 연결합니다.
  4. 새로 배포된 버전으로 모든 노드에서 xDoctor를 업그레이드합니다.
명령:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm

예: 
admin@node1:~> sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : xDoctor Upgrader Instance (2:FTP_SFTP) 2021-12-20 12:06:11,358: xDoctor_4.8-78.2 - INFO : Local Upgrade (/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm) 2021-12-20 12:06:11,392: xDoctor_4.8-78.2 - INFO : Current Installed xDoctor version is 4.8-78.2 2021-12-20 12:06:11,429: xDoctor_4.8-78.2 - INFO : Requested package version is 4.8-79.1 2021-12-20 12:06:11,430: xDoctor_4.8-78.2 - INFO : Updating xDoctor RPM Package (RPM) 2021-12-20 12:06:11,482: xDoctor_4.8-78.2 - INFO : - Distribute package 2021-12-20 12:06:12,099: xDoctor_4.8-78.2 - INFO : - Install new rpm package 2021-12-20 12:06:37,829: xDoctor_4.8-78.2 - INFO : xDoctor successfully updated to version 4.8-79.1
  1. 멀티 랙 VDC 환경인 경우 새 xDoctor 패키지를 각 랙의 첫 번째 노드에 설치해야 합니다. 이러한 기본 랙을 식별하려면 아래 명령을 실행합니다. 이 예에서는 4개의 랙이 있으므로 4개의 기본 랙이 강조 표시됩니다.
  1. 명령:
    # svc_exec -m "ip address show private.4 |grep -w inet"

    예:
admin@ecsnode1~> svc_exec -m "ip address show private.4 |grep -w inet" svc_exec v1.0.2 (svc_tools v2.1.0) Started 2021-12-20 14:03:33 Output from node: r1n1 retval: 0 inet 169.254.1.1/16 brd 169.254.255.255 scope global private.4 Output from node: r2n1 retval: 0 inet 169.254.2.1/16 brd 169.254.255.255 scope global private.4 Output from node: r3n1 retval: 0 inet 169.254.3.1/16 brd 169.254.255.255 scope global private.4 Output from node: r4n1 retval: 0 inet 169.254.4.1/16 brd 169.254.255.255 scope global private.4
  1. 아래와 같이 시스템의 첫 번째 노드(R1N1)에서 다른 기본 랙에 패키지를 복사합니다.
예: 
admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.2.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.3.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~> scp xDoctor4ECS-4.8-79.1.noarch.rpm 169.254.4.1:/home/admin/ xDoctor4ECS-4.8-79.1.noarch.rpm 100% 32MB 31.9MB/s 00:00 admin@ecsnode1~>
  1. 위의 e단계에 따라 앞에서 확인한 각 기본 랙에 동일한 xDoctor 설치 명령을 실행합니다. 
명령:
# sudo xdoctor --upgrade --local=/home/admin/xDoctor4ECS-4.8-79.1.noarch.rpm
 

  1. 사전 검사 실행

    1. svc_dt 명령을 사용하여 DT가 안정적인지 확인합니다. "Unready #" 열에 0이 표시되면 DTS가 안정적입니다. 0이 표시된 경우 다음 검사를 진행합니다. 그렇지 않은 경우 15분 정도 기다린 후 다시 검사하십시오. DT가 안정화되지 않은 경우 ECS 지원 팀과 함께 서비스 요청을 개설합니다.
명령:
# svc_dt check -b
 
예: 
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2) Started 2021-12-16 16:44:51 Date Total DT Unknown # Unready # RIS Fail # Dump Fail # Check type Time since check Check successful 2021-12-16 16:43:44 2432 0 0 0 0 AutoCheck 1m 7s True 2021-12-16 16:42:33 2432 0 0 0 0 AutoCheck 2m 18s True 2021-12-16 16:41:23 2432 0 0 0 0 AutoCheck 3m 28s True 2021-12-16 16:40:13 2432 0 0 0 0 AutoCheck 4m 38s True 2021-12-16 16:39:02 2432 0 0 0 0 AutoCheck 5m 49s True 2021-12-16 16:37:52 2432 0 0 0 0 AutoCheck 6m 59s True 2021-12-16 16:36:42 2432 0 0 0 0 AutoCheck 8m 9s True 2021-12-16 16:35:31 2432 0 0 0 0 AutoCheck 9m 20s True 2021-12-16 16:34:21 2432 0 0 0 0 AutoCheck 10m 30s True 2021-12-16 16:33:11 2432 0 0 0 0 AutoCheck 11m 40s True
  1. svc_patch 명령을 사용하여 모든 노드가 온라인 상태인지 확인합니다. 온라인 상태 경우 다음 단계를 진행합니다. 아닌 경우 이유를 조사하고 다시 온라인으로 전환한 후 검사를 다시 실행합니다. 노드를 온라인 상태로 전환할 수 없는 경우 ECS 지원 팀과 함께 서비스 요청을 개설하여 조사합니다.
명령:
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status

예: 
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL

  1. xDoctor와 함께 제공된 svc_patch 툴을 사용하여 시스템 패치를 적용합니다.

    1. svc_patch 명령을 실행하고 "y"를 입력한 다음 패치를 설치하라는 메시지가 표시되면 키를 누릅니다. 이 명령은 모든 ECS 노드에서 실행할 수 있습니다. 

명령:
# screen -S patchinstall
# unset TMOUT
# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install

예:

참고: 아래 출력에 계속 진행하라는 메시지가 표시됩니다.

admin@node1:~>screen -S patchinstall admin@node1:~> unset TMOUT admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency                    DONE Detecting nodes in current VDC                        DONE Reading in patch details (1 of 2)                     DONE Reading in patch details (2 of 2)                     DONE Validating nodes are online                           DONE Checking Installed Patches and Dependencies           DONE Patches/releases currently installed:         [ None detected ] Patches that will be installed:         CVE-2021-44228_log4j-fix_3.3.x-3.6.2                    (PatchID: 3298) Files that will be installed:         /opt/storageos/lib/log4j-core-2.5.jar                   (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services will be restarted:         ALL Patch Type:                                                     Standalone Number of nodes:                                                8 Number of seconds to wait between restarting node services:     450 Check DT status between node service restarts:                  true Do you wish to continue (y/n)?y [...Truncated Output of each node Distributing files and restarting services...] Distributing files to node 1xx.xxx.xx.xx Distributing patch installer to node '1xx.xxx.xx.xx' Restarting services on 1xx.xxx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize... [...Truncated Output of each node Distributing files and restarting services...] Stopping ViPR services..done Services status 3: stat georeceiver eventsvc blobsvc dataheadsvc blobsvc-perf blobsvc-fi resourcesvc resourcesvc-perf resourcesvc-fi rm cm ssm objcontrolsvc metering sr storageserver nvmeengine nvmetargetviewer dtquery dtsm vnest coordinatorsvc ecsportalsvc transformsvc Setting up SSL certificates ...done Starting ViPR services..done Waiting 300 seconds for services to stabilize...DONE Patching complete. admin@node1:~>
  1. 위의 출력에 따라 패치 작업이 완료되면 세션 종료 화면이 표시됩니다.
예: 
admin@node1:/> exit logout [screen is terminating] admin@node1:/>
참고: 
실행이 진행되는 동안 실수로 PuTTY 세션을 닫은 경우 동일한 노드에 다시 로그인하여 다시 연결하고 다음 명령을 실행할 수 있습니다.
 

명령:
# screen -ls 
admin@node 1:~> screen -ls There is a screen on: 114475.pts-0.ecs-n3 (Detached) 1 Socket in /var/run/uscreens/S-admin.
이전 출력에서 분리된 세션에 재연결 
admin@node1:~> screen -r 114475.pts-0.ecs-n3

  1. 수정 사항이 적용되었는지 확인합니다.

    1. 아래 출력은 수정 사항이 적용된 시스템의 출력입니다.

명령:

# /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status

예: 
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Fixes for Log4j vulnerabilities CVE-2021-44228 and CVE-2021-45046 Patches that need to be installed: No files need to be installed. The following services need to be restarted: No services need to be restarted.
  1. 아래 출력은 수정 사항이 적용되지 않은 시스템의 출력입니다.
예:  
admin@node1:/> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE Patches/releases currently installed: [ None detected ] Patches that need to be installed: CVE-2021-44228_log4j-fix_3.3.x-3.6.2 (PatchID: 3298) Files that need to be installed: /opt/storageos/lib/log4j-core-2.5.jar (from CVE-2021-44228_log4j-fix_3.3.x-3.6.2) The following services need to be restarted: ALL


 

문제 해결:

  1. DT 안정화 시간이 너무 오래 걸림
  1. DT 안정화가 기본 7.5분보다 더 오래 걸리는 경우 svc_patch 애플리케이션에서 패치 프로세스를 계속할지 또는 중단할지 묻는 메시지를 표시합니다.
예: 
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install [...Truncated Output of each node Distributing files and restarting services...] Restarting services on 1xx.xx.xx.xx Restarting all services Waiting 180 seconds for services to stabilize...DONE Waiting for DTs to come online ERROR: DT Check failed. DTs did not come ready or could not be checked after several passes. Do you wish to continue anyway (y/n)?
  1. 다른 노드에서 PuTTY 세션을 열고 svc_dt 명령을 실행하여 "Unready #" 열에서 DT를 확인합니다. "0" 값이 없으면 15분 정도 기다린 후 검사를 다시 실행하십시오. 준비되지 않은 DT가 없는 경우 svc_patch를 사용하여 세션으로 돌아갑니다. "y"로 대답하고 계속합니다. svc_dt가 "Unready #" DT에 값을 계속 나열하면 ECS 지원 팀과 함께 서비스 요청을 개설합니다.
명령:
# svc_dt check -b
예:  
admin@node1:~> svc_dt check -b svc_dt v1.0.25 (svc_tools v2.0.2)                 Started 2021-12-15 17:18:52 Date                     Total DT       Unknown #      Unready #      RIS Fail #     Dump Fail #    Check type     Time since check   Check successful 2021-12-15 17:17:54      1920           0              0              0              0              AutoCheck      0m 58s             True 2021-12-15 17:16:44      1920           0              0              0              0              AutoCheck      2m 8s              True 2021-12-15 17:16:10      1920           0              0              0              0              Manual Check   2m 42s             True 2021-12-15 17:15:34      1920           0              0              0              0              AutoCheck      3m 18s             True 2021-12-15 17:14:24      1920           0              0              0              0              AutoCheck      4m 28s             True 2021-12-15 17:13:13      1920           0              0              0              0              AutoCheck      5m 39s             True 2021-12-15 17:12:03      1920           0              0              0              0              AutoCheck      6m 49s             True 2021-12-15 17:10:53      1920           0              0              0              0              AutoCheck      7m 59s             True 2021-12-15 17:09:43      1920           0              0              0              0              AutoCheck      9m 9s              True 2021-12-15 17:08:32      1920           0              0              0              0              AutoCheck      10m 20s            True
 
  1. 화면에서 실행되지 않고 PuTTY 세션이 조기에 종료되기 때문에 모든 노드에서 서비스가 재시작되지는 않습니다.
예를 들면 다음과 같습니다.  다시 로그인한 후 6개 노드 중 4개 노드에서 서비스가 재시작되었습니다. 아래 강조 표시된 노드 5와 6을 참조하십시오. 
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch status svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that need to be installed: 169.254.1.1:  169.254.1.2:  169.254.1.3:  169.254.1.4:  169.254.1.5:  169.254.1.6:  Files that need to be installed: 169.254.1.1:  169.254.1.2:  169.254.1.3:  169.254.1.4:  169.254.1.5:  169.254.1.6:  Services that need to be restarted: 169.254.1.1:  169.254.1.2:  169.254.1.3:  169.254.1.4:  169.254.1.5: ALL 169.254.1.6: ALL admin@ecsnode1:~>
해결 방법: 이 절차를 다시 실행하면 원래 누락된 나머지 노드에서 서비스가 재시작됩니다. 서비스가 재시작된 원래 노드는 변경되지 않습니다. 
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online DONE Checking Installed Patches and Dependencies DONE All nodes currently do not have the same patches installed. Patches/releases currently installed: 169.254.1.1: CVE-2021-44228_45046_log4j-fix 169.254.1.2: CVE-2021-44228_45046_log4j-fix 169.254.1.3: CVE-2021-44228_45046_log4j-fix 169.254.1.4: CVE-2021-44228_45046_log4j-fix 169.254.1.5: CVE-2021-44228_45046_log4j-fix 169.254.1.6: CVE-2021-44228_45046_log4j-fix Patches that will be installed: 169.254.1.1:  169.254.1.2:  169.254.1.3:  169.254.1.4:  169.254.1.5:  169.254.1.6:  Files that will be installed: 169.254.1.1:  169.254.1.2:  169.254.1.3:  169.254.1.4:  169.254.1.5:  169.254.1.6:  Services that will be restarted: 169.254.1.1:  169.254.1.2:  169.254.1.3:  169.254.1.4:  169.254.1.5: ALL 169.254.1.6: ALL Patch Type: Standalone Number of nodes: 8 Number of seconds to wait between restarting node services: 450 Check DT status between node service restarts: true Do you wish to continue (y/n)?y No files to install on 169.254.1.1 Distributing patch installer to node '169.254.1.1' No files to install on 169.254.1.2 Distributing patch installer to node '169.254.1.2' No files to install on 169.254.1.3 Distributing patch installer to node '169.254.1.3' No files to install on 169.254.1.4 Distributing patch installer to node '169.254.1.4' No files to install on 169.254.1.5 Distributing patch installer to node '169.254.1.5' No files to install on 169.254.1.6 Distributing patch installer to node '169.254.1.6' No services to restart on 169.254.1.1 No services to restart on 169.254.1.2 No services to restart on 169.254.1.3 No services to restart on 169.254.1.4 Restarting services on 169.254.1.5 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Restarting services on 169.254.1.6 Restarting all services Waiting 450 seconds for services to stabilize...DONE Waiting for DTs to come online Patching complete. admin@ecsnode1:~>
  1. 패치를 적용하는 동안 알려진 호스트 목록에 호스트를 추가하지 못했습니다.
예:  
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was 'Failed to add the host to the list of known hosts (/home/admin/.ssh/known_hosts). :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
 

해결 방법:
그 이유는 기본적으로 admin인 /home/admin/.ssh/known_hosts 파일의 사용자가 root이기 때문일 수 있습니다. 

예:  
admin@node1:~> ls -l /home/admin/.ssh/known_hosts -rw------- 1 root root 1802 Jul 23 2019 /home/admin/.ssh/known_hosts admin@ecs:~>
 
다른 PuTTY 세션에서 문제를 해결하려면 보고된 노드에 로그온하고 모든 보고된 노드에서 아래 명령을 사용하여 루트 사용자로 존재하는 노드에서 사용자를 admin으로 변경합니다.
 

명령:
#  sudo chown admin:users /home/admin/.ssh/known_hosts
 
예: 
admin@node1:~> sudo chown admin:users /home/admin/.ssh/known_hosts
 
이제 svc_patch 명령을 다시 실행하면 명령이 전달됩니다. 
admin@node1:~> /opt/emc/xdoctor/patches/CVE-2021-44228_45046_log4j-fix/svc_patch install
  1. /home/admin/.ssh/known_hosts의 잘못된 호스트 키로 인해 169.254.x.x에서 object-main 컨테이너에 명령을 실행할 수 없습니다.
예: 
svc_patch Version 2.9.1 Verifying patch bundle consistency DONE Detecting nodes in current VDC DONE Reading in patch details (1 of 2) DONE Reading in patch details (2 of 2) DONE Validating nodes are online FAILED ERROR: Could not execute commands on the object-main container on 169.254.x.x Output was '@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is SHA256:RcwOsFj7zPA5p5kSeYovF4UlZTm125nLVeCL1zCqOzc. Please contact your system administrator. Add correct host key in /home/admin/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /home/admin/.ssh/known_hosts:14 You can use following command to remove the offending key: ssh-keygen -R 169.254.x.x -f /home/admin/.ssh/known_hosts Password authentication is disabled to avoid man-in-the-middle attacks. Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks. :patchtest:' Patching is unable to continue with unreachable nodes. To proceed: - Resolve problems accessing node(s) from this one. - Manually pass a MACHINES file containing the list of working nodes to patch (not recommended). - Contact your next level of support for other options or assistance.
 
해결 방법:
 
해결 방법이 필요한 경우 ECS 지원에 문의하십시오.

Affected Products

Elastic Cloud Storage

Products

ECS, ECS Appliance
Article Properties
Article Number: 000194467
Article Type: Solution
Last Modified: 13 Sept 2022
Version:  26
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.
Article Properties
Article Number: 000194467
Article Type: Solution
Last Modified: 13 Sept 2022
Version:  26
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.