Erstellen und konfigurieren Sie als Best Practice im Hinblick auf die Sicherheit lokale Administratorkonten für Secure Shell (SSH) auf den Hostmaschinen für virtuelle Appliances. Entfernen Sie auch den Root-SSH-Zugriff nach dem Erstellen der entsprechenden Konten.

Warum und wann dieser Vorgang ausgeführt wird

Erstellen Sie lokale Administratorkonten für SSH oder Mitglieder der sekundären Wheel-Gruppe bzw. beides. Testen Sie vor dem Deaktivieren des direkten Root-Zugriffs, dass autorisierte Administratoren mit AllowGroups auf SSH zugreifen und mit der Wheel-Gruppe su auf root ausführen können.

Prozedur

  1. Melden Sie sich bei der virtuellen Appliance als Root-Benutzer an und führen Sie die folgenden Befehle mit dem entsprechenden Benutzernamen aus.
    # useradd -g users <username> -G wheel -m -d /home/benutzername 
    			 # passwd username

    Wheel ist die in AllowGroups angegebene Gruppe für den SSH-Zugriff. Um mehrere sekundäre Gruppen hinzuzufügen, verwenden Sie -G wheel,sshd.

  2. Wechseln Sie zum Benutzer und geben Sie ein neues Kennwort ein, um die Prüfung der Kennwortkomplexität zu erzwingen.
    # su –benutzername # benutzername@hostname 
    	# :~>passwd 
    				

    Wenn die Kennwortkomplexität erfüllt wird, wird das Kennwort aktualisiert. Wenn die Kennwortkomplexität nicht erfüllt wird, wird das Kennwort auf das ursprüngliche Kennwort zurückgesetzt, und Sie müssen den Kennwortbefehl erneut ausführen.

  3. Um die direkte Anmeldung bei SSH zu entfernen, ändern Sie die Datei /etc/ssh/sshd_config durch Ersetzen von (#)PermitRootLogin yes durch PermitRootLogin no.

    Alternativ dazu können Sie in der Virtual Appliance Management Interface (VAMI) SSH aktivieren/deaktivieren, indem Sie das Kontrollkästchen Administrator-SSH-Anmeldung aktiviert auf der Registerkarte Admin aktivieren bzw. deaktivieren.

Nächste Maßnahme

Deaktivieren Sie direkte Anmeldungen als Root-Benutzer. Standardmäßig erlauben die gehärteten Appliances die direkte Anmeldung als Root-Benutzer über die Konsole. Nachdem Sie Administratorkonten für die Unleugbarkeit erstellt und diese für den Su-Root-Wheel-Zugriff getestet haben, deaktivieren Sie direkte Root-Anmeldungen durch Bearbeiten der Datei /etc/Security als Root-Benutzer und Ersetzen des tty1-Eintrags mit console.