对于远程连接,所有强化设备都包括安全 Shell (Secure Shell, SSH) 协议。仅在必要时使用 SSH,并适当进行管理以确保系统安全。

SSH 是一个交互式命令行环境,可支持远程连接到 VMware 虚拟设备。默认情况下,SSH 访问需要具有高度特权的用户帐户凭据。Root 用户的 SSH 活动通常会绕过虚拟设备基于角色的访问控制 (Role-Based Access Control, RBAC) 和审核控制。

最佳做法是在生产环境中禁用 SSH,仅在对无法通过其他方式解决的问题进行故障排除时将其激活。仅在出于特定需要时根据您组织的安全策略将其启用。默认情况下,vRealize Automation 设备 已启用 SSH。根据您的 vSphere 配置,可以在部署开放式虚拟化格式 (Open Virtualization Format, OVF) 模板时启用或禁用 SSH。

确定计算机是否已启用 SSH 的简单测试是尝试使用 SSH 打开连接。如果连接打开并请求凭据,则表示 SSH 已启用并且可用于连接。

安全 Shell root 用户帐户

由于 VMware 设备不包括预配置的用户帐户,因此默认情况下,root 帐户可以使用 SSH 直接登录。尽快以 root 用户身份禁用 SSH。

为了符合不可否认性合规标准,所有强化设备上的 SSH 服务器都预配置了 AllowGroups wheel 条目,用于限制对辅助 wheel 组的 SSH 访问。为了实现职责分离,可以在 /etc/ssh/sshd_config 文件中修改 AllowGroups wheel 条目,以便使用其他组(比如 sshd)。

wheel 组使用 pam_wheel 模块启用以提供超级用户访问权限,因此 wheel 组成员可以通过 su 命令成为 root 用户(需要 root 密码)。组分隔让用户能够通过 SSH 连接设备,但无法通过 su 命令成为 root 用户。为确保设备正常工作,请勿移除或修改 AllowGroups 字段中的其他条目。进行更改后,必须通过运行以下命令重新启动 SSH 守护进程:# service sshd restart