Quando possível, todos os appliances do VMware possuem uma configuração reforçada por padrão. Os usuários podem verificar se sua configuração está reforçada corretamente examinando as configurações do servidor e serviço do cliente na seção de opções globais do arquivo de configuração.

Se possível, restrinja o uso do servidor de SSH para uma sub-rede de gerenciamento no arquivo /etc/hosts.allow.

Procedimento

  1. Abra o arquivo de configuração do servidor /etc/ssh/sshd_config no appliance do VMware e verifique se as configurações estão corretas.
    Configuração Status
    Protocolo do daemon do servidor Protocolo 2
    Cifras CBC aes256-ctr e aes128-ctr
    Encaminhamento TCP AllowTCPForwarding no
    Portas de gateway do servidor Gateway Ports no
    Encaminhamento X11 X11Forwarding no
    Serviço de SSH Use o campo AllowGroups e especifique um acesso permitido de grupo. Adicione os membros apropriados a esse grupo.
    Autenticação GSSAPI GSSAPIAuthentication no, if unused
    Autenticação Keberos KeberosAuthentication no, if unused
    Variáveis locais (opção global AcceptEnv) Defina como desativado por comentário ou ativado para variáveis LC_* ou LANG
    Configuração de túnel PermitTunnel no
    Sessões de rede MaxSessions 1
    Conexões concorrentes do usuário Defina como 1 para usuário raiz e qualquer outro usuário. O arquivo /etc/security/limits.conf também precisa ser definido com as mesmas configurações.
    Verificação de modo restrito Strict Modes yes
    Separação de privilégios UsePrivilegeSeparation yes
    Autenticação RSA de rhosts RhostsESAAuthentication no
    Compressão Compression delayed or Compression no
    Código de autenticação da mensagem MACs hmac-sha1
    Restrição ao acesso do usuário PermitUserEnvironment no
  2. Salve suas alterações e feche o arquivo.