Comment configurer et appliquer le profil de serveur SSH à l’interface de gestion de Dedicated Log Collector

• L’étape d’atténuation pour CVE-2023-48795 nécessite un profil de serveur SSH avec au moins un chiffrement et au moins un algorithme MAC.
• Pour les collecteurs de journaux dédiés gérés via Panorama, il n’y a pas de menu dans l’interface graphique permettant de configurer un profil de serveur SSH et de l’appliquer à l’interface de gestion des collecteurs de journaux dédiés.
• Cet article fournit les étapes à suivre pour configurer la même chose.

• PAN-OS 10.0 et versions ultérieures.
• Gestion Panorama avec un groupe de collecteurs.
• Collecteur de journaux dédié dans le groupe de collecteurs.

Cette étape de configuration doit être effectuée sur le panorama de gestion du groupe de collecteurs.
Si la configuration est effectuée localement sur le(s) collecteur(s) de journaux dédié(s), le prochain envoi du groupe de collecteurs remplacera la configuration.

1. Connectez-vous à Panorama et créez un profil de serveur SSH pour le groupe de collecteurs.

> configure
# set log-collector-group <collector group name> general-setting management ssh profiles mgmt-profiles server-profiles <SSH Server Profile name>

2. Appliquez les options telles que les chiffrements, les algorithmes, etc. au profil de serveur SSH que vous avez créé ci-dessus. L’utilisation de « tab » donnera la liste des options. Un exemple est donné ci-dessous :

# set log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST ciphers [ aes256-cbc aes256-ctr aes256-gcm ] mac [ hmac-sha2-256 hmac-sha2-512 ]

• Un espace est requis entre les crochets [ ] et les valeurs ainsi qu’entre les valeurs.
• Par exemple, [hmac-sha2-256 hmac-sha2-512] renverra une erreur de syntaxe non valide .

3. Appliquez le profil de serveur SSH à l’interface de gestion et quittez la configuration.

# set log-collector-group <insert collector group name> general-setting management ssh mgmt server-profile <insert SSH Server Profile name>
# exit

4. Pour vérifier la configuration :

> configure
# show log-collector-group <insert collector group name> general-setting management ssh
# exit

5. Valider la configuration dans le panorama de gestion dans l’interface graphique à l’aide de Valider > Valider dans le panorama
6. Transférez la configuration vers le groupe de collecteurs dans l’interface graphique. à l’aide de l’option Valider > Envoyer aux appareils
7. Sélectionnez l’étendue de l’envoi au groupe de collecteurs. Reportez-vous à ce qui suit :

8. Pour appliquer le journal des modifications dans chaque collecteur de journaux du groupe de collecteurs et redémarrer le service SSH de l’interface de gestion à l’aide de la commande CLI :

> set ssh service-restart mgmt

• Commandes permettant de corriger les chiffrements et les clés faibles sur l’interface de gestion pour l’accès SSH dans PAN-OS 10.0
• Configurer un profil de service SSH
• Les commandes de l’étape 2 peuvent également être appliquées séparément. Exemple ci-dessous:

# set log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST ciphers [ aes256-cbc ]

# set log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST mac [ hmac-sha2-256 hmac-sha2-512 ]

• Pour supprimer des valeurs pour les options, la commande est structurée comme suit :

# delete log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST mac hmac-sha2-512

# delete log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST ciphers aes256-cbc