作为系统强化过程的一部分,请在所有 VMware 虚拟设备主机上适当地配置 tcp_wrappers 程序包,从而限制安全 Shell (SSH) 访问。另外,请在这些设备上维护必要的 SSH 密钥文件权限。

所有 VMware 虚拟设备均包含 tcp_wrappers 程序包,以便允许 TCP 支持的守护程序控制可以访问 libwrapped 守护程序的网络子网。默认情况下,/etc/hosts.allow 文件包含一个通用条目,sshd: ALL : ALLOW,其允许对安全 Shell 的所有访问。针对您的组织适当地限制此访问。

过程

  1. 在文本编辑器中打开虚拟设备主机上的 /etc/hosts.allow 文件。
  2. 更改您的生产环境中的通用条目,使其只包括本地主机条目和管理网络子网,以便实现安全的操作。 
    sshd:127.0.0.1 : ALLOW
sshd: [::1] : ALLOW
sshd: 10.0.0.0 :ALLOW

    在本示例中,允许所有本地主机连接以及客户端在 10.0.0.0 子网上创建的连接。

  3. 添加所有适当的主机标识,例如主机名称、IP 地址、完全限定域名 (FQDN) 和回送。
  4. 保存并关闭该文件。