用于修复 mgmt 接口上的弱密码和密钥的命令SSH进入PAN-OS10.0
81737
Created On 04/28/22 13:46 PM - Last Modified 03/11/24 23:43 PM
Symptom
用于修复 mgmt 接口上的弱密码和密钥的命令SSH访问无效:
> configure
# delete deviceconfig system ssh
# set deviceconfig system ssh ciphers mgmt aes256-ctr
# set deviceconfig system ssh ciphers mgmt aes256-gcm
# set deviceconfig system ssh default-hostkey mgmt key-type ECDSA 256
# set deviceconfig system ssh regenerate-hostkeys mgmt key-type ECDSA key-length 256
# set deviceconfig system ssh session-rekey mgmt interval 3600
# set deviceconfig system ssh mac mgmt hmac-sha2-256
# set deviceconfig system ssh mac mgmt hmac-sha2-512
Environment
- 帕洛阿尔托Firewall或者 Panorama
- PAN-OS 10.0 和更新版本。
Cause
在PAN-OS10及以上,SSH需要在下面创建服务配置文件GUI: 设备 > 证书管理 >SSH服务简介自定义管理和HA SSH配置。
Resolution
- 创建一个SSH服务简介。 在下面GUI: 设备 > 证书管理 >SSH服务简介
- 配置适当的密码。 参考如何修复弱密码
- 在下面设备 > 设置 > 管理 >SSH管理配置文件设置,选择之前配置的配置文件。
- 重新启动管理SSH服务来自CLI使用命令“应用配置文件设置 ssh 服务重启 mgmt ”。 参考笔记以下。
- 关闭所有活动SSH会话并打开一个新连接以开始使用新参数。
笔记:管理服务重新启动。 虽然 datatplane 服务不受影响,但建议在下班后运行该命令。