Quando possível, todos os appliances do VMware possuem uma configuração reforçada por padrão. Os usuários podem verificar se sua configuração está reforçada corretamente examinando as configurações do servidor e serviço do cliente na seção de opções globais do arquivo de configuração.

Por Que e Quando Desempenhar Esta Tarefa

Se possível, restrinja o uso do servidor de SSH para uma sub-rede de gerenciamento no arquivo /etc/hosts.allow.

Procedimento

  1. Abra o arquivo de configuração do servidor /etc/ssh/sshd_config no appliance do VMware e verifique se as configurações estão corretas.

    Configuração

    Status

    Protocolo do daemon do servidor

    Protocolo 2

    Cifras CBC

    aes256-ctr e aes128-ctr

    Encaminhamento TCP

    AllowTCPForwarding no

    Portas de gateway do servidor

    Gateway Ports no

    Encaminhamento X11

    X11Forwarding no

    Serviço de SSH

    Use o campo AllowGroups e especifique um acesso permitido de grupo. Adicione os membros apropriados a esse grupo.

    Autenticação GSSAPI

    GSSAPIAuthentication no, if unused

    Autenticação Keberos

    KeberosAuthentication no, if unused

    Variáveis locais (opção global AcceptEnv)

    Defina como desativado por comentário ou ativado para variáveis LC_* ou LANG

    Configuração de túnel

    PermitTunnel no

    Sessões de rede

    MaxSessions 1

    Conexões concorrentes do usuário

    Defina como 1 para usuário raiz e qualquer outro usuário. O arquivo /etc/security/limits.conf também precisa ser definido com as mesmas configurações.

    Verificação de modo restrito

    Strict Modes yes

    Separação de privilégios

    UsePrivilegeSeparation yes

    Autenticação RSA de rhosts

    RhostsESAAuthentication no

    Compressão

    Compression delayed or Compression no

    Código de autenticação da mensagem

    MACs hmac-sha1

    Restrição ao acesso do usuário

    PermitUserEnvironment no

  2. Salve suas alterações e feche o arquivo.