作为安全性最佳做法,请在虚拟设备主机上为安全 Shell (Secure Shell, SSH) 创建和配置本地管理帐户。此外,在创建相应的帐户之后,移除 root 用户的 SSH 访问权限。

关于此任务

为 SSH 和/或辅助 wheel 组的成员创建本地管理帐户。禁用 root 用户直接访问之前,请测试授权管理员能否使用 AllowGroups 访问 SSH,以及能否使用 wheel 组通过 su 命令成为 root 用户。

过程

  1. 以 root 用户身份登录到虚拟设备,并使用相应的用户名运行以下命令。
    # useradd -g users <username> -G wheel -m -d /home/username 
    			 # passwd username

    Wheel 是 AllowGroups 中指定可进行 SSH 访问的组。要添加多个辅助组,请使用 -G wheel,sshd

  2. 切换到该用户并提供新密码,以强制执行密码复杂性检查。
    # su –username 
    	# username@hostname:~>passwd 
    				

    如果满足密码复杂性要求,该密码将会更新。如果不满足密码复杂性要求,该密码将恢复为原始密码,您必须重新运行密码命令。

  3. 要移除 SSH 直接登录,请通过将 (#)PermitRootLogin yes 替换为 PermitRootLogin no 来修改 /etc/ssh/sshd_config 文件。

    或者,您也可以通过在虚拟设备管理界面 (VAMI) 的管理选项卡上选中或取消选中已启用管理员 SSH 登录复选框来启用或禁用 SSH。

下一步做什么

禁用 root 用户直接登录。默认情况下,强化设备允许通过控制台直接登录到 root。出于不可否认性目的创建管理帐户且测试管理帐户是否具备 su-root wheel 访问权限之后,通过以 root 用户身份编辑 /etc/security 文件并将 tty1 条目替换为 console,禁用 root 用户直接登录。