管理インターフェイス上の弱い暗号とキーを修正するコマンドSSHにアクセスするPAN-OS10.0
81489
Created On 04/28/22 13:46 PM - Last Modified 03/11/24 23:43 PM
Symptom
管理インターフェイス上の弱い暗号とキーを修正するコマンドSSHアクセスが機能していません:
> configure
# delete deviceconfig system ssh
# set deviceconfig system ssh ciphers mgmt aes256-ctr
# set deviceconfig system ssh ciphers mgmt aes256-gcm
# set deviceconfig system ssh default-hostkey mgmt key-type ECDSA 256
# set deviceconfig system ssh regenerate-hostkeys mgmt key-type ECDSA key-length 256
# set deviceconfig system ssh session-rekey mgmt interval 3600
# set deviceconfig system ssh mac mgmt hmac-sha2-256
# set deviceconfig system ssh mac mgmt hmac-sha2-512
Environment
- パロアルトFirewallまた Panorama
- PAN-OS 10.0 以降のバージョン。
Cause
のPAN-OS10以上、SSHサービス プロファイルは以下に作成する必要がありますGUI: デバイス > 証明書管理 >SSHサービスプロファイル管理をカスタマイズし、HA SSH構成。
Resolution
- を作成しますSSHサービスプロファイル。 下GUI: デバイス > 証明書管理 >SSHサービスプロファイル
- 適切な暗号を構成します。 参照弱い暗号を修正する方法
- 下デバイス>セットアップ>管理>SSH管理プロファイルの設定、以前に構成したプロファイルを選択します。
- 経営を再開するSSHからのサービスCLIコマンド「」を使用してプロファイルを適用するにはssh サービスの再起動管理を設定する」。 参照ノート下。
- アクティブなものをすべて閉じるSSHセッションを開始し、新しい接続を開いて新しいパラメータの使用を開始します。
ノート:管理サービスが再起動されます。 datatplane サービスは影響を受けませんが、営業時間外にコマンドを実行することをお勧めします。