Schränken Sie im Rahmen des Härtungsverfahrens für Ihr System den Secure Shell (SSH)-Zugriff ein, indem Sie das tcp_wrappers-Paket auf allen Hostmaschinen der virtuellen VMware-Appliances entsprechend konfigurieren. Behalten Sie auch die Berechtigungen für die SSH-Schlüsseldatei auf diesen Appliances bei.

Warum und wann dieser Vorgang ausgeführt wird

Alle virtuellen VMware-Appliances enthalten das tcp_wrapper-Paket, damit TCP-unterstützte Daemons die Netzwerksubnetze steuern können, die auf die libwrapped-Daemons zugreifen können. Standardmäßig enthält die Datei /etc/hosts.allow den generischen Eintrag Sshd: ALL : ALLOW, der den Zugriff auf die Secure Shell ermöglicht. Schränken Sie den Zugriff entsprechend den Anforderungen Ihrer Organisation ein.

Prozedur

  1. Öffnen Sie die Datei /etc/hosts.allow auf den Hostmaschinen für die virtuellen Appliances in einem Texteditor.
  2. Ändern Sie den generischen Eintrag in Ihrer Produktionsumgebung, sodass er nur die lokalen Hosteinträge und das Subnetz des Verwaltungsnetzwerks für sichere Vorgänge enthält.
    sshd:127.0.0.1 : ALLOW
    sshd: [::1] : ALLOW
    sshd: 10.0.0.0 :ALLOW

    In diesem Beispiel sind alle lokalen Hostverbindungen und Verbindungen, die die Clients auf dem 10.0.0.0-Subnetz herstellen, zulässig.

  3. Fügen Sie alle entsprechenden Maschinen-IDs hinzu, zum Beispiel Hostname, IP-Adresse, vollständig qualifizierter Domänenname (FQDN) und Loopback.
  4. Speichern Sie die Datei und schließen Sie sie.