如果可能,所有 VMware 设备都应具有默认强化配置。通过检查配置文件中全局选项部分中的服务器和客户端服务设置,用户可以确认其配置已正确强化。

关于此任务

如果可能,仅限 /etc/hosts.allow 文件中的管理子网使用 SSH 服务器。

过程

  1. VMware 设备上打开 /etc/ssh/sshd_config 服务器配置文件,然后确认设置正确。

    设置

    状态

    服务器守护进程协议

    协议 2

    CBC 密码

    aes256-ctr 和 aes128-ctr

    TCP 转发

    禁用 AllowTCPForwarding

    服务器网关端口

    禁用网关端口

    X11 转发

    禁用 X11Forwarding

    SSH 服务

    使用 AllowGroups 字段并指定具有访问权限的组。向此组添加相应成员。

    GSSAPI 身份验证

    如果未使用,则禁用 GSSAPIAuthentication

    Keberos 身份验证

    如果未使用,则禁用 KeberosAuthentication

    局部变量(AcceptEnv 全局选项)

    设置为“通过注释掉来禁用”“通过 LC_* 或 LANG 变量启用”

    隧道配置

    禁用 PermitTunnel

    网络会话

    MaxSessions 为 1

    用户并发连接数

    针对 root 及任何其他用户,设置为 1。 /etc/security/limits.conf 文件也需要配置相同的设置。

    严格模式检查

    启用严格模式

    特权分离

    启用 UsePrivilegeSeparation

    rhosts RSA 身份验证

    禁用 RhostsESAAuthentication

    压缩

    延迟压缩或禁用压缩

    消息身份验证代码

    MACs hmac-sha1

    用户访问限制

    禁用 PermitUserEnvironment

  2. 保存更改并关闭文件。