Commandes pour corriger les chiffrements et les clés faibles sur l’interface mgmt pour SSH l’accès dans PAN-OS 10.0
81839
Created On 04/28/22 13:46 PM - Last Modified 03/11/24 23:43 PM
Symptom
Les commandes permettant de corriger les chiffrements et les clés faibles sur l’interface mgmt pour SSH l’accès ne fonctionnent pas :
> configure
# delete deviceconfig system ssh
# set deviceconfig system ssh ciphers mgmt aes256-ctr
# set deviceconfig system ssh ciphers mgmt aes256-gcm
# set deviceconfig system ssh default-hostkey mgmt key-type ECDSA 256
# set deviceconfig system ssh regenerate-hostkeys mgmt key-type ECDSA key-length 256
# set deviceconfig system ssh session-rekey mgmt interval 3600
# set deviceconfig system ssh mac mgmt hmac-sha2-256
# set deviceconfig system ssh mac mgmt hmac-sha2-512
Environment
- Palo Alto Firewall ou Panorama
- PAN-OS 10.0 et versions plus récentes.
Cause
Dans PAN-OS les versions 10 et supérieures, le profil de service doit être créé sous GUI: Device >Certificate Management >SSH Service Profile pour personnaliser la gestion et HA SSH les configurationsSSH.
Resolution
- Créez un profil de SSH service. Sous GUI: Device >Certificate Management >SSH Service Profile
- Configurez les chiffrements appropriés. Reportez-vous à Comment réparer les chiffrements faibles
- Sous Paramètres du > Configuration > Gestion > SSH des profils de gestion de l’appareil, sélectionnez le profil précédemment configuré.
- Redémarrez le service de gestion à partir du pour appliquer le profil à CLI l’aide de SSH la commande « ssh service-restart mgmt ». Voir la note ci-dessous.
- Fermez toutes les sessions actives SSH et ouvrez une nouvelle connexion pour commencer à utiliser les nouveaux paramètres.
Note: Les services de gestion sont redémarrés. Bien que les services datatplane ne soient pas affectés, il est recommandé d’exécuter la commande après les heures de bureau.