Para conexões remotas, todos os dispositivos protegidos incluem o protocolo Secure Shell (SSH). O SSH é desativado por padrão no dispositivo protegido do.
O SSH é um ambiente de linha de comando interativo que oferece suporte a conexões remotas com um nó VMware Aria Operations. O SSH requer credenciais de conta de usuário com altos privilégios. As atividades de SSH geralmente ignoram o controle de acesso baseado em função (RBAC) e os controles de auditoria do nó VMware Aria Operations.
Como prática recomendada, desative o SSH em um ambiente de produção e ative-o somente para diagnosticar ou solucionar problemas que você não pode resolver por outros meios. Deixe-o ativado somente quando necessário para uma finalidade específica e de acordo com as políticas de segurança da sua organização. Se você ativar o SSH, certifique-se de que ele esteja protegido contra ataques e de que você o ative apenas pelo tempo necessário. Dependendo da configuração do vSphere, você pode ativar ou desativar o SSH ao implantar o modelo OVF (Open Virtualization Format).
Como um teste simples para determinar se o SSH está ativado em uma máquina, tente abrir uma conexão usando o SSH. Se a conexão for aberta e solicitar credenciais, o SSH será ativado e estará disponível para fazer conexões.
Usuário raiz do Secure Shell
Como os dispositivos VMware não incluem contas de usuário padrão pré-configuradas, a conta raiz pode usar o SSH para fazer login diretamente por padrão. Desative o SSH como root assim que possível.
Para atender aos padrões de conformidade para não repúdio, o servidor SSH em todos os dispositivos protegidos é pré-configurado com a entrada de wheel AllowGroups para restringir o acesso SSH ao wheel de grupo secundário. Para a separação de tarefas, você pode modificar a entrada de wheel AllowGroups no arquivo /etc/ssh/sshd_config para usar outro grupo, como sshd.
O grupo wheel é ativado com o módulo pam_wheel
para acesso de superusuário, para que os membros do grupo wheel possam usar o comando su-root, em que a senha root é necessária. A separação de grupo permite que os usuários usem o SSH para o dispositivo, mas não o comando su para fazer login como root. Não remova ou modifique outras entradas no campo AllowGroups, o que garante o funcionamento adequado do dispositivo. Depois de fazer uma alteração, reinicie o daemon SSH executando o comando # service sshd restart
.