Befehle zum Beheben schwacher Verschlüsselungen und Schlüssel auf der mgmt-Schnittstelle für SSH den Zugriff in PAN-OS 10.0
81497
Created On 04/28/22 13:46 PM - Last Modified 03/11/24 23:43 PM
Symptom
Befehle zum Beheben schwacher Verschlüsselungen und Schlüssel auf der mgmt-Schnittstelle für SSH den Zugriff funktionieren nicht:
> configure
# delete deviceconfig system ssh
# set deviceconfig system ssh ciphers mgmt aes256-ctr
# set deviceconfig system ssh ciphers mgmt aes256-gcm
# set deviceconfig system ssh default-hostkey mgmt key-type ECDSA 256
# set deviceconfig system ssh regenerate-hostkeys mgmt key-type ECDSA key-length 256
# set deviceconfig system ssh session-rekey mgmt interval 3600
# set deviceconfig system ssh mac mgmt hmac-sha2-256
# set deviceconfig system ssh mac mgmt hmac-sha2-512
Environment
- Palo Alto Firewall oder Panorama
- PAN-OS 10.0 und neuere Versionen.
Cause
In PAN-OS Version 10 und höher muss das SSH Dienstprofil unter GUIGeräte- >Zertifikatsverwaltung >SSH Dienstprofil erstellt werden, um die Verwaltung und HA SSH Konfigurationen anzupassen.
Resolution
- Erstellen Sie ein SSH Dienstprofil. Unter GUI: Geräte- >Zertifikatsverwaltung >SSH Dienstprofil
- Konfigurieren Sie die entsprechenden Chiffren. Siehe So beheben Sie schwache Chiffren
- Wählen Sie unter "Gerät> Einstellungen für die Einrichtung > Verwaltung > SSH Einstellungen für Verwaltungsprofile" das zuvor konfigurierte Profil aus.
- Starten Sie den Verwaltungsdienst SSH CLI neu, um das Profil mit dem Befehl "set ssh service-restart mgmt" anzuwenden. Siehe Hinweis unten.
- Schließen Sie alle aktiven SSH Sitzungen und öffnen Sie eine neue Verbindung, um die neuen Parameter zu verwenden.
Anmerkung: Die Verwaltungsdienste werden neu gestartet. Obwohl datatplane-Dienste nicht betroffen sind, wird empfohlen, den Befehl nach Feierabend auszuführen.