对于远程连接,所有强化设备包含安全 Shell (SSH) 协议。强化设备上默认停用 SSH。
SSH 的交互式命令行环境,支持对 VMware Aria Operations 节点进行远程连接。SSH 需要具有高权限的用户帐户凭据。SSH 活动通常会绕过 VMware Aria Operations 节点的基于角色的访问控制(role-based access control,RBAC)和审核控制。
作为最佳做法,请在生产环境中停用 SSH,仅在诊断或排除您无法通过其他方式解决的问题时才激活此协议。仅在需要将此功能用于特定用途时才将其激活,并且此行为须符合您组织的安全策略。如果您激活 SSH,请确保为其抵御攻击,并且仅在需要时才激活它。根据您的 vSphere 配置,可以在部署开放式虚拟化格式 (OVF) 模板时激活或停用 SSH。
作为确定计算机上是否激活了 SSH 的简单测试,请尝试使用 SSH 打开一个连接。如果连接打开并请求凭据,则 SSH 已激活,且可用于进行连接。
安全 Shell Root 用户
由于 VMware 设备不包括预先配置的默认用户帐户,默认情况下,root 帐户可以使用 SSH 直接登录。尽快停用以 root 身份使用 SSH。
为了符合不可否认性合规标准,所有强化设备上的 SSH 服务器都预配置了 AllowGroups wheel
条目,用于限制对辅助 wheel 组的 SSH 访问。为了实现职责分离,可以修改 /etc/ssh/sshd_config 文件中的 AllowGroups wheel
条目以使用其他组,比如 sshd。
pam_wheel
模块的 wheel 组已激活了超级用户访问权限,因此 wheel 的成员可以使用 su-root 命令,其中,需要提供 root 密码。组分离允许用户使用 SSH 访问设备,但不能使用 su 命令以 root 身份登录。请勿删除或修改 AllowGroups 字段中的其他条目,该字段可以确保设备功能正确运行。实施更改后,通过运行 # service sshd restart
命令重新启动 SSH 守护程序。