在系统强化过程中,通过在所有 VMware 虚拟设备主机上相应地配置 tcp_wrappers 软件包,可以限制安全 Shell (SSH) 访问。此外,请在这些设备上维护所需的 SSH 密钥文件权限。

关于此任务

所有 VMware 虚拟设备都包含 tcp_wrappers 软件包,以便允许支持 tcp 的守护进程控制能够访问 libwrapped 守护进程的网络子网。默认情况下,/etc/hosts.allow 文件包含一个通用条目 Sshd: ALL : ALLOW,允许所有 IP 地址对安全 shell 的访问。请根据您组织的需要限制此访问权限。

过程

  1. 在文本编辑器中打开虚拟设备主机上的 /etc/hosts.allow 文件。
  2. 更改生产环境中的通用条目使其仅包括本地主机条目和管理网络子网,从而确保执行安全操作。
    sshd:127.0.0.1 : ALLOW
    sshd: [::1] : ALLOW
    sshd: 10.0.0.0 :ALLOW

    在此示例中,允许所有本地主机连接以及客户端通过 10.0.0.0 子网进行的连接。

  3. 添加所有相应的主机标识,例如:主机名、IP 地址、完全限定域名 (Fully Qualified Domain Name, FQDN) 和环回。
  4. 保存文件并关闭。