CPU由于尝试,高级管理 SSH 平面

CPU由于尝试,高级管理 SSH 平面

12236
Created On 11/25/20 21:25 PM - Last Modified 03/26/21 18:48 PM


Symptom


  • Firewall GUI 在 CPU 仪表板页面上显示高百分比加载
  • "显示系统资源跟随"显示高"负载平均值"和/或 高 CPU
mp-monitor.log 2020-10-22 12:54:02* Cpu(s): 11.7%us, 4.1%sy, 0.1%ni, 83.8%id, 0.1%wa, 0.0%hi, 0.2%si, 0.0%st
mp-monitor.log 2020-10-22 12:57:00* Cpu(s): 11.8%us, 4.1%sy, 0.1%ni, 83.8%id, 0.1%wa, 0.0%hi, 0.2%si, 0.0%st
mp-monitor.log 2020-10-22 13:00:00* Cpu(s): 11.8%us, 4.1%sy, 0.1%ni, 83.8%id, 0.1%wa, 0.0%hi, 0.2%si, 0.0%st

mp-monitor.log 2020-10-22 12:54:02* top - 12:54:01 up 54 days, 18:00, 1 user, load average: 15.35, 11.06, 10.59
mp-monitor.log 2020-10-22 12:57:00* top - 12:57:00 up 54 days, 18:03, 1 user, load average: 20.39, 13.85, 11.66
mp-monitor.log 2020-10-22 13:00:00* top - 13:00:00 up 54 days, 18:06, 1 user, load average: 10.83, 13.85, 12.13

在这种情况下, CPU 负载不高,但负载平均值显示 1 分钟、5 分钟和 15 分钟加载升高 - 这些数字表示 CPU 在相应间隔期间等待过程的平均数。(在此特定示例中,有 4 个管理平面内核 firewall - 因此,这表示平均有 10-20 个过程等待 4 个内核进行维修)。较高的数字表明 firewall 可能收到大量请求。
 
  • "监视器->系统"日志显示许多 SSH 来自公共地址的登录尝试失败 IP (这显示每秒许多连接)
2020/10/22 12:57:31 medium general general 0 Failed password for root from 218.92.0.191 port 40760 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 168.90.89.35 port 50888 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 218.92.0.191 port 40760 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for share from 191.43.12.85 port 35904 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 107.170.20.247 port 42771 ssh2
2020/10/22 12:57:31 medium general general 0 Failed password for root from 188.131.166.98 port 45944 ssh2
  • "显示网络统计"显示 SSH 不同连接状态中的许多连接:
2020-10-22 04:18:35.238 -0700 --- netstat
tcp 40 0 67.109.26.210:22 218.92.0.191:19919 CLOSE_WAIT 15305/sshd
tcp 23 0 205.158.104.17:22 163.172.101.48:55226 ESTABLISHED 15630/sshd
tcp 40 0 205.158.104.26:22 222.186.180.130:64031 CLOSE_WAIT 14690/sshd
tcp 1 0 205.158.104.15:22 103.238.69.138:36270 CLOSE_WAIT 14860/sshd
tcp 1 0 205.158.104.12:22 211.193.58.225:59800 CLOSE_WAIT 14887/sshd
tcp 40 0 205.158.104.16:22 222.186.180.130:41087 CLOSE_WAIT 14698/sshd
tcp 1 0 205.158.104.28:22 113.53.238.195:37006 CLOSE_WAIT 15225/sshd
tcp 1 0 205.158.104.30:22 186.47.213.34:39554 CLOSE_WAIT 15112/sshd
tcp 1 0 205.158.104.28:22 211.108.168.106:32882 CLOSE_WAIT 15490/sshd

 

Environment


  • 帕洛阿尔托 Firewall .
  • 任何 PAN-OS .
  • GlobalProtect GP( ) 已配置网关或门户。
  • 配置为 GP 分配的界面,允许管理配置文件 SSH 。


 

Cause


  • firewall具有界面管理配置文件 SSH ,允许分配给托管 GlobalProtect 门户和/或网关的数据飞机界面的访问
  • 许多基于互联网的用户和程序正试图 firewall SSH 通过 IP 门户和网关的暴露公众访问使用 Globalprotect ,从而增加了管理平面加载,以服务这些请求。

Resolution


  1. SSH从分配给托管 GlobalProtect 网关或门户的界面的管理配置文件中删除访问权限。 这可以在 GUI 以下下完成: 网络>网络配置文件>接口mgmt>(选择配置文件和取消检查 SSH )
  2. OK击并提交配置更改。

Additional Information


参考确保行政访问的最佳实践
。不要使用允许 HTTP HTTPS 、Telnet 或 SSH 在已配置门户或网关的界面上的界面管理配置文件, GlobalProtect 因为此配置允许通过 Internet 访问管理界面。 "
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBlYCAW&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language