Comandos para corregir cifrados y claves débiles en la interfaz mgmt para SSH el acceso en PAN-OS 10.0
81647
Created On 04/28/22 13:46 PM - Last Modified 03/11/24 23:43 PM
Symptom
Los comandos para corregir cifrados y claves débiles en la interfaz mgmt para SSH el acceso no funcionan:
> configure
# delete deviceconfig system ssh
# set deviceconfig system ssh ciphers mgmt aes256-ctr
# set deviceconfig system ssh ciphers mgmt aes256-gcm
# set deviceconfig system ssh default-hostkey mgmt key-type ECDSA 256
# set deviceconfig system ssh regenerate-hostkeys mgmt key-type ECDSA key-length 256
# set deviceconfig system ssh session-rekey mgmt interval 3600
# set deviceconfig system ssh mac mgmt hmac-sha2-256
# set deviceconfig system ssh mac mgmt hmac-sha2-512
Environment
- Palo Alto Firewall o Panorama
- PAN-OS 10.0 y versiones posteriores.
Cause
En PAN-OS 10 y versiones posteriores, SSH el perfil de servicio debe crearse en GUI: Administración de > de dispositivos >SSH Perfil de servicio para personalizar la administración y HA SSH las configuraciones.
Resolution
- Cree un perfil de SSH servicio. En GUI: Perfil de servicio de > administración de certificados >SSH dispositivo
- Configure los cifrados adecuados. Consulte Cómo arreglar cifrados débiles
- En Configuración > configuración > configuración > SSH configuración de perfiles de administración, seleccione el perfil configurado anteriormente.
- Reinicie el servicio de administración SSH desde el para aplicar el perfil mediante el CLI comando "set ssh service-restart mgmt". Consulte la nota a continuación.
- Cierre todas las sesiones activas SSH y abra una nueva conexión para empezar a utilizar los nuevos parámetros.
Nota: Los servicios de administración se reinician. Aunque los servicios de datatplane no se ven afectados, se recomienda ejecutar el comando afterhours.