对于远程连接,所有强化设备包含安全 Shell (SSH) 协议。强化设备上默认禁用 SSH。
SSH 的交互式命令行环境,支持对 vRealize Operations 节点进行远程连接。SSH 需要具有高权限的用户帐户凭据。SSH 活动通常会绕过 vRealize Operations 节点的基于角色的访问控制(role-based access control,RBAC)和审核控制。
作为最佳实践,请在生产环境中禁用 SSH,仅在诊断或排除您无法通过其他方式解决的问题时才启用此协议。仅在需要将此功能用于特定用途时才将其启用,并且此行为须符合您组织的安全策略。如果您启用 SSH,请确保为其抵御攻击,并且仅在需要时才启用它。根据您的 vSphere 配置,您可以在部署开放虚拟化格式(Open Virtualization Format,OVF)模板时启用或禁用 SSH。
作为确定计算机上是否启用了 SSH 的简单测试,请尝试使用 SSH 打开一个连接。如果连接打开并请求凭据,则 SSH 已启用,且可用于进行连接。
安全 Shell Root 用户
由于 VMware 设备不包括预先配置的默认用户帐户,默认情况下,root 帐户可以使用 SSH 直接登录。尽可能以 root 身份禁用 SSH。
为了满足适用于不可否认性的法律合规标准,所有强化设备上的 SSH 服务器均预先配置了 AllowGroups wheel 条目以将 SSH 访问限制给次级组 wheel。为了实现职责分离,您可以修改 /etc/ssh/sshd_config 文件中的 AllowGroups wheel 条目以使用其他组,比如 sshd。
pam_wheel 模块的 wheel 组已启用了超级用户访问权限,因此 wheel 的成员可以使用 su-root 命令,其中,需要提供 root 密码。组分离允许用户使用 SSH 访问设备,但不能使用 su 命令以 root 身份登录。请勿删除或修改 AllowGroups 字段中的其他条目,该字段可以确保设备功能正确运行。实施更改后,通过运行 # service sshd restart 命令重新启动 SSH 守护程序。
