在可能的情况下,虚拟应用程序安装 (Virtual Application Installation, OVF) 具有默认强化配置。用户可以通过检查配置文件的全局选项部分的服务器和客户端服务,验证其配置是否经过适当的强化。

过程

  1. 打开 /etc/ssh/sshd_config 服务器配置文件,验证设置是否正确。
    设置 状态
    服务器守护程序协议 Protocol 2
    密码 [email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
    TCP 转发 AllowTCPForwarding no
    服务器网关端口 Gateway Ports no
    X11 转发 X11Forwarding no
    SSH 服务 使用 AllowGroups 字段指定一个组,该组有权访问辅助组以及向其中添加成员,辅助组的成员是有权使用该服务的用户。
    GSSAPI 身份验证 GSSAPIAuthentication no(如果未使用)
    Kerberos 身份验证 KerberosAuthentication no(如果未使用)
    本地变量(AcceptEnv 全局选项) 设置为 disabled by commenting outenabled for only LC_* or LANG variables
    隧道配置 PermitTunnel no
    网络会话 MaxSessions 1
    严格模式检查 Strict Modes yes
    权限分离 UsePrivilegeSeparation yes
    rhosts RSA 身份验证 RhostsRSAAuthentication no
    压缩 Compression delayed 或 Compression no
    消息身份验证代码 [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,hmac-sha1
    用户访问限制 PermitUserEnvironment no
    KexAlgorithms diffie-hellman-group14-sha1,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521
  2. 确保 ListenAddress 行已取消注释并设置为有效的本地 IP。
    例如, ListenAddress 0.0.0.0

    0.0.0.0 替换为 vRealize Operations 节点的 IP 地址。

    例如,ListenAddress 192.168.168.10

  3. 保存更改并关闭文件。在命令行中,执行以下命令以应用更改的设置:# systemctl restart sshd.service