Sie müssen lokale Administratorkonten erstellen, die sowohl als Secure Shell (SSH) verwendet werden können und die Mitglieder der sekundären Wheel-Gruppe sind, bevor Sie den Root-SSH-Zugriff entfernen.

Warum und wann dieser Vorgang ausgeführt wird

Bevor Sie den direkten Root-Zugriff deaktivieren, testen Sie mit AllowGroups, ob autorisierte Administratoren auf SSH zugreifen können und dass sie die Wheel-Gruppe nutzen und den Befehl su verwenden können, um sich als Root anzumelden.

Prozedur

  1. Melden Sie sich als Root an, und führen Sie die folgenden Befehle aus.
    # useradd -d /home/vropsuser -g users -G wheel –m
    # passwd username

    Wheel ist die Gruppe, die in AllowGroups für SSH-Zugriff festgelegt wurde. Um mehrere sekundäre Gruppen hinzuzufügen, verwenden Sie -G wheel,sshd.

  2. Wechseln Sie zum Benutzer, und stellen Sie ein neues Kennwort bereit, um eine Prüfung der Kennwortkomplexität zu gewährleisten.
    # su – username
    username@hostname:~>passwd
    

    Bei Erfüllung der Kennwortkomplexität wird das Kennwort aktualisiert. Wenn die Kennwortkomplexität nicht erfüllt wird, wird wieder das ursprüngliche Kennwort verwendet, und Sie müssen den Kennwortbefehl erneut ausführen.

    Nachdem Sie die Anmeldekonten erstellt haben, um Remote-SSH-Zugriff zu ermöglichen, und den Befehl su für die Anmeldung als Root mit Wheel-Zugriff verwendet haben, können Sie das Root-Konto aus der SSH-Direktanmeldung entfernen.

  3. Um Direktanmeldung bei SSH zu entfernen, ändern Sie die Datei /etc/ssh/sshd_config, indem Sie (#)PermitRootLogin yes durch PermitRootLogin no ersetzen.

Nächste Maßnahme

Deaktivieren Sie Direktanmeldungen als Root. Standardmäßig erlauben die gehärteten Appliances die direkte Anmeldung als Root über die Konsole. Nachdem Sie Administratorkonten für NonRepudiation erstellt und sie auf Wheel-Zugriff (su-root) getestet haben, deaktivieren Sie direkte Root-Anmeldungen, indem Sie die Datei /etc/security als Root bearbeiten und den Eintrag tty1 durch console ersetzen.