Para conexões remotas, todos os appliances reforçados incluem o protocolo Shell seguro (SSH). Use o SSH somente quando necessário e gerencie-o adequadamente para preservar a segurança do sistema.

O SSH é um ambiente interativo de linha de comando compatível com conexões remotas a appliances virtuais do VMware. Por padrão, o acesso do SSH requer credenciais de conta de usuário com alto privilégio. Em geral, as atividades de SSH do usuário raiz dispensam o controle de acesso baseado em função (RBAC) e controles de auditoria dos appliances virtuais.

Como melhor prática, desative o SSH em um ambiente de produção e ative-o somente para resolver problemas que não podem ser resolvidos por outros meios. Deixe-o habilitado somente quando for necessário para uma finalidade específica e em conformidade com as políticas de segurança da sua organização. O SSH está desabilitado por padrão no appliance do vRealize Automation. Dependendo da configuração do vSphere, você pode habilitar ou desabilitar o SSH ao implantar o modelo do Formato Aberto de Virtualização (OVF).

Como teste simples para determinar se o SSH está habilitado em uma máquina, tente abrir uma conexão usando SSH. Se a conexão abrir e solicitar credenciais, isso significa que o SSH está habilitado e disponível para conexões.

Conta de usuário raiz do Shell Seguro

Como appliances do VMware não incluem contas de usuário pré-configuradas, a conta raiz pode usar SSH para fazer login diretamente por padrão. Desative o SSH como raiz assim que possível.

Para atender aos padrões de conformidade de não repúdio, o servidor de SSH em todos os appliances reforçados é pré-configurado com a entrada de roda AllowGroups para restringir o acesso de SSH à roda do grupo secundário. Para separação de obrigações, você pode modificar a entrada de roda AllowGroups no arquivo /etc/ssh/sshd_config para usar outro grupo, como sshd.

O grupo de roda é habilitado com o módulo pam_wheel para acesso de superusuário, para que os membros do grupo da roda possam fazer o acesso como superusuário raiz, onde a senha raiz é exigida. A separação de grupos permite que os usuários usem SSH no appliance sem ter acesso de superusuário à raiz. Não remova ou modifique outras entradas no campo AllowGroups, que garante a funcionalidade correta do appliance. Após fazer uma alteração, você deve reiniciar o daemon do SSH executando o comando: # service sshd restart