在一 HA 对中，次要 Firewall 的 ssh 连接（管理端口）在初级密码上禁用弱密码后丢失 Firewall

21313

Created On 09/25/20 05:22 AM - Last Modified 02/17/23 14:00 PM

Question

为什么 PA CLI TLS 当两个PA在一对中时，在删除主的弱密码后，次要的访问丢失 HA ？

前面的步骤：
1. 用于在以下步骤上修复 sweet-32 易受攻击配置 PAN 。
2. 卸下弱密码，如 SHA1、3DES 和 RC4。
3. 通过选择安全密码算法（如 SHA256）来更新 ssl-tls 服务配置文件 AES-256 GCM 。
4. 将关键交换算法 ECDHE 设置为，并将mgmt的ssh密码设置为 aes256-ctr 等。
5. 完整的细节可以在这里找到。
6. 最后一步始终是 SSH 再次重新启动服务（设置ssh 服务重新启动 mgmt），以便新配置的设置可以进行。
副作用：
1. 但是，有时作为副作用 PA-FW SSH 访问并不成功。这可能是由于旧 SSH 客户端不支持新的更新密钥，因此我们建议所有软件的更新版本，特别是腻子。您可以随时使用泰瑞特姆、安全CRT或其他 SSH 客户端软件。
2. 如果您有一对，则会出现更大的问题 HA- ，并且 SSH 对次要 FW 的访问失败。原因是，虽然由于配置同步， SSH 配置从主配置传递到次要配置，但 SSH 服务未在次要时重新启动。因此，新的 SSH 相关配置不适用于管理端口，处于 FW 挂状态
解决方案：
1. 在次要 FW 时， SSH 从 WebUI 关闭。
2. 通过控制台登录，首先删除现有配置，然后再次更改密码。
3. 重新启动服务 "设置 ssh 服务重新启动 mgmt"
4. 然后从 SSH WebUI 打开，或者您可以同时更改 SSH 相关配置 FW ，并 SSH 一起重新启动管理服务。