Für Remoteverbindungen umfassen alle gehärteten Appliances das Secure Shell (SSH)-Protokoll. Verwenden Sie SSH nur bei Bedarf und verwalten Sie diese Befehlszeilenumgebung zur Erhaltung der Systemsicherheit.

SSH ist eine interaktive Befehlszeilenumgebung, die Remoteverbindungen zu virtuellen VMware-Appliances unterstützt. Standardmäßig erfordert der SSH-Zugriff die Anmeldedaten eines Benutzerkontos mit weitreichenden Berechtigungen. Bei SSH-Aktivitäten von Root-Benutzern werden die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) und Überwachungssteuerung der virtuellen Appliance in der Regel umgangen.

Es wird empfohlen, SSH in einer Produktionsumgebung zu deaktivieren und nur dann zu aktivieren, wenn Probleme behoben werden müssen, die mit anderen Mitteln nicht behoben werden können. Lassen Sie SSH nur solange aktiviert, wie es für einen bestimmten Zweck erforderlich ist und wie es die Sicherheitsrichtlinien Ihres Unternehmens zulassen. SSH ist auf der vRealize Automation-Appliance standardmäßig deaktiviert. Je nach Ihrer vSphere-Konfiguration können Sie SSH aktivieren oder deaktivieren, wenn Sie Ihre OVF (Open Virtualization Format)-Vorlage bereitstellen.

Ein einfacher Test, um zu ermitteln, ob SSH auf einer Maschine aktiviert ist, besteht darin, zu versuchen, eine Verbindung unter Verwendung von SSH zu öffnen. Wenn die Verbindung geöffnet wird und Anmeldedaten abgefragt werden, ist SSH aktiviert und für Verbindungen verfügbar.

Secure Shell-Root-Benutzerkonto

Da VMware-Appliances keine vorkonfigurierten Benutzerkonten enthalten, kann SSH vom Root-Konto standardmäßig für eine direkte Anmeldung verwendet werden. Deaktivieren Sie SSH so schnell wie möglich als Boot-Benutzer.

Um die Übereinstimmungsstandards für Unleugbarkeit zu erfüllen, ist der SSH-Server auf allen gehärteten Appliances mit einem AllowGroups-Wheel-Eintrag vorkonfiguriert, um den SSH-Zugriff auf den sekundären Gruppen-Wheel-Eintrag einzuschränken. Um die Verantwortlichkeiten zu trennen, können Sie den AllowGroups-Wheel-Eintrag in der Datei /etc/ssh/sshd_config zwecks Verwendung einer anderen Gruppe, wie sshd, ändern.

Die Wheel-Gruppe ist mit dem pam_wheel-Modul für den Superuser-Zugriff aktiviert, sodass Mitglieder der Wheel-Gruppe su-root ausführen können, wenn das Root-Kennwort erforderlich ist. Eine Gruppentrennung ermöglicht Benutzern die Verwendung von SSH auf der Appliance, nicht aber die Ausführung von su auf root. Entfernen oder ändern Sie keine anderen Einträge im AllowGroups-Feld, um die ordnungsgemäße Funktionalität der Appliance sicherzustellen. Nach einer Änderung müssen Sie den SSH-Daemon neu starten, indem Sie diesen Befehl ausführen: # service sshd restart.