SSH Server Profileを設定し、専用ログコレクタの管理インターフェイスに適用する方法
6762
Created On 03/18/24 15:52 PM - Last Modified 12/18/25 15:27 PM
Objective
- CVE-2023-48795 の緩和手順では、少なくとも 1 つの暗号と少なくとも 1 つの MAC アルゴリズムを持つ SSH サーバー プロファイルが必要です。
- Panorama で管理される専用ログコレクタの場合、SSH サーバプロファイルを設定して専用ログコレクタの管理インターフェイスに適用するためのメニューが GUI にありません。
- この記事では、同じものを構成する手順について説明します。
Environment
- PAN-OS 10.0 以降。
- コレクターグループによる管理パノラマ。
- コレクタ グループ内の専用ログ コレクタ。
Procedure
この設定手順は、コレクタグループの管理パノラマで実行する必要があります。
構成が専用ログコレクターでローカルに行われた場合、次のコレクターグループプッシュによって構成が上書きされます。
- Panorama にログインし、コレクター グループの SSH サーバー プロファイルを作成します。
> configure
# set log-collector-group <collector group name> general-setting management ssh profiles mgmt-profiles server-profiles <SSH Server Profile name>
- 暗号、アルゴリズムなどのオプションを、上記で作成したSSHサーバープロファイルに適用します。 「タブ」を使用すると、オプションのリストが表示されます。 以下に例を示します。
# set log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST ciphers [ aes256-cbc aes256-ctr aes256-gcm ] mac [ hmac-sha2-256 hmac-sha2-512 ]
- 角括弧 [ ] と値の間、および値の間にスペースが必要です。
- たとえば、[hmac-sha2-256 hmac-sha2-512] は無効 な構文 エラーを返します。
- SSH サーバ プロファイルを管理インターフェイスに適用し、設定を終了します。
# set log-collector-group <insert collector group name> general-setting management ssh mgmt server-profile <insert SSH Server Profile name>
# exit
- 設定を確認するには、次の手順を実行します。
> configure
# show log-collector-group <insert collector group name> general-setting management ssh
# exit
- GUI で [Commit] > [Commit to Panorama] を使用して、設定を Management Panorama にコミットします
- GUI の Collector Group に設定をプッシュします。デバイスへのコミット>プッシュの使用
- コレクター グループへのプッシュ スコープを選択します。 以下を参照してください。
- 変更ログをコレクタ グループの各 Log Collector に適用し、CLI コマンドを使用して管理インターフェイスの SSH サービスを再起動するには、次の手順を実行します。
> set ssh service-restart mgmt
注: 削除コマンドについては、「追加情報」セクションを参照してください。
Additional Information
- PAN-OS 10.0 の SSH アクセス用の管理インターフェイスの脆弱な暗号とキーを修正するコマンド
- SSH サービス プロファイルの設定
- 手順 2 のコマンドを個別に適用することもできます。 以下の例:
# set log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST ciphers [ aes256-cbc ]
# set log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST mac [ hmac-sha2-256 hmac-sha2-512 ]
- オプションの値を削除するために、コマンドは次のように構成されています。
# delete log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST mac hmac-sha2-512
# delete log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST ciphers aes256-cbc
注: 1 つの削除コマンドで削除できる値は 1 つだけです。