Mit autorisierten Schlüsseln können Sie den Zugriff auf einen ESXi-Host über SSH ohne Benutzerauthentifizierung ermöglichen. Um die Hostsicherheit zu erhöhen, sollten Sie nicht zulassen, dass Benutzer mit autorisierten Schlüsseln auf Hosts zugreifen.

Warum und wann dieser Vorgang ausgeführt wird

Ein Benutzer wird als vertrauenswürdig betrachtet, wenn sich sein öffentlicher Schlüssel in der Datei /etc/ssh/keys-root/authorized_keys auf einem Host befindet. Vertrauenswürdige Remotebenutzer dürfen auf den Host zugreifen, ohne ein Kennwort anzugeben.

Prozedur

  • Für alltägliche Vorgänge deaktivieren Sie SSH auf ESXi-Hosts.
  • Wenn SSH vorübergehend oder dauerhaft aktiviert ist, überwachen Sie den Inhalt der Datei /etc/ssh/keys-root/authorized_keys, um sicherzustellen, dass kein Benutzer ohne ordnungsgemäße Authentifizierung auf den Host zugreifen kann.
  • Überwachen Sie die Datei /etc/ssh/keys-root/authorized_keys, um sicherzustellen, dass sie leer ist und dass ihr keine SSH-Schlüssel hinzugefügt wurden.
  • Wenn Sie feststellen, dass die Datei /etc/ssh/keys-root/authorized_keys nicht leer ist, entfernen Sie die Schlüssel.

Ergebnisse

Wenn Sie den Remotezugriff mit autorisierten Schlüsseln deaktivieren, kann Ihre Fähigkeit eingeschränkt werden, Befehle auf einem Host ohne Angabe gültiger Anmeldedaten remote auszuführen. Dies kann beispielsweise bedeuten, dass ein automatisches Remoteskript nicht ausgeführt werden kann.