Como prática recomendada de segurança, crie e configure contas administrativas locais para o Secure Shell (SSH) nas suas máquinas host do appliance virtual. Além disso, remova o acesso SSH raiz depois de criar as contas apropriadas.

Por Que e Quando Desempenhar Esta Tarefa

Crie contas administrativas locais para SSH ou membros do grupo wheel secundário, ou ambos. Antes de desativar o acesso raiz direto, teste se os administradores autorizados podem acessar o SSH usando o AllowGroups e se eles podem usar o comando su to root usando o grupo wheel.

Procedimento

  1. Faça login no appliance virtual como raiz e execute os seguintes comandos com o nome de usuário apropriado.
    # useradd -g users <username> -G wheel -m -d /home/nome de usuário 
    			 # passwd username

    Wheel é o grupo especificado em AllowGroups para acesso ssh. Para adicionar vários grupos secundários, use -G wheel,sshd.

  2. Mude para o usuário e forneça uma nova senha para reforçar a verificação de complexidade da senha.
    # su –username 
    	# username@hostname:~>passwd 
    				

    Se a complexidade da senha for atendida, a senha será atualizada. Se a complexidade da senha não for atendida, a senha voltará para a senha original e será necessário executar novamente o comando de senha.

  3. Para remover o login direto para SSH, modifique o arquivo /etc/ssh/sshd_config substituindo (#)PermitRootLogin yes por PermitRootLogin no.

    Como alternativa, você pode ativar/desativar o SSH na Virtual Appliance Management Interface (VAMI) marcando ou desmarcando a caixa de seleção Login SSH de administrador ativado na guia Administrador.

O que Fazer Depois

Desative os logins diretos como raiz. Por padrão, os appliances protegidos permitem o login direto para raiz através do console. Depois de criar contas administrativas para não repúdio e testá-las para acesso à roda su-root, desative os logins de raiz diretos editando o arquivo /etc/security como root e substituindo a entrada tty1 por console.

  1. Abra o arquivo /etc/securetty em um editor de texto.

  2. Localize tty1 e substitua-o por console.

  3. Salve o arquivo e feche-o.