如何配置 SSH 服务器配置文件并将其应用于专用日志收集器的管理界面

如何配置 SSH 服务器配置文件并将其应用于专用日志收集器的管理界面

6748
Created On 03/18/24 15:52 PM - Last Modified 12/18/25 15:27 PM


Objective


  • CVE-2023-48795 的缓解步骤需要具有至少一个密码和至少一个 MAC 算法的 SSH 服务器配置文件。
  • 对于通过 Panorama 管理的专用日志收集器,GUI 中没有用于配置 SSH 服务器配置文件并将其应用于专用日志收集器管理界面的菜单。
  • 本文提供了配置相同的步骤。

Environment


  • PAN-OS 10.0 及更高版本。
  • 具有收集器组的管理全景图。
  • 收集器组中的专用日志收集器。

Procedure


此配置步骤必须在收集器组的“管理全景图”上完成。
如果配置是在专用日志收集器上本地完成的,则下一个收集器组推送将覆盖该配置。

  1. 登录到 Panorama 并为收集器组创建 SSH 服务器配置文件。
> configure
# set log-collector-group <collector group name> general-setting management ssh profiles mgmt-profiles server-profiles <SSH Server Profile name>
  1. 将密码、算法等选项应用于您在上面创建的 SSH 服务器配置文件。 使用“选项卡”将给出选项列表。 下面给出了一个示例:
# set log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST ciphers [ aes256-cbc aes256-ctr aes256-gcm ] mac [ hmac-sha2-256 hmac-sha2-512 ]
  • 方括号 [ ] 和值之间以及值之间需要空格。
  • 例如,[hmac-sha2-256 hmac-sha2-512] 将返回 Invalid 语法 错误。
  1. 将 SSH 服务器配置文件应用于管理界面并退出配置。
# set log-collector-group <insert collector group name> general-setting management ssh mgmt server-profile <insert SSH Server Profile name>
# exit
  1. 要验证配置,请执行以下操作:
> configure
# show log-collector-group <insert collector group name> general-setting management ssh
# exit
  1. 使用 Commit > Commit to Panorama 将配置提交到 GUI 中的 Management Panorama
  2. 将配置推送到 GUI 中的收集器组。使用 Commit > Push to Devices
  3. 选择将范围推送到收集器组。 请参阅以下内容:

image.png

 

image.png

  1. 要将更改日志应用到收集器组的每个日志收集器中,并使用 CLI 命令重新启动管理界面 SSH 服务,请执行以下操作:
> set ssh service-restart mgmt

 

注意:有关删除命令,请参阅“其他信息”部分。

Additional Information


# set log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST ciphers [ aes256-cbc ]

# set log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST mac [ hmac-sha2-256 hmac-sha2-512 ]
  • 若要删除选项的任何值,该命令的结构如下:
# delete log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST mac hmac-sha2-512

# delete log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST ciphers aes256-cbc
注: 每个删除命令只能删除一个值。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhwqCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language