Schränken Sie im Rahmen Ihres Systemabhärtungsprozesses den Secure Shell-Zugriff (SSH-Zugriff) ein, indem Sie das Paket tcp_wrappers auf allen Host-Maschinen der virtuellen VMware-Appliance entsprechend konfigurieren. Erhalten Sie auch die erforderlichen SSH-Schlüsseldateiberechtigungen auf diesen Appliances aufrecht.

Warum und wann dieser Vorgang ausgeführt wird

Alle virtuellen VMware-Appliances enthalten das Paket tcp_wrappers, damit TCP-gestützte Daemons die Netzwerk-Subnetze steuern können, die auf die Libwrapped-Daemons zugreifen. Die Datei /etc/hosts.allow enthält standardmäßig einen generischen Eintrag, sshd: ALL : ALLOW, der jeglichen Zugriff auf die Secure Shell zulässt. Schränken Sie den Zugriff entsprechend den Anforderungen Ihres Unternehmens ein.

Prozedur

  1. Öffnen Sie die Datei /etc/hosts.allow auf der Host-Maschine Ihrer virtuellen Appliance in einem Texteditor.
  2. Ändern Sie den generischen Eintrag in Ihrer Produktionsumgebung so, dass er nur die lokalen Host-Einträge und das Subnetz des Managementnetzwerks enthält, um einen sicheren Betrieb zu gewährleisten.
    sshd:127.0.0.1 : ALLOW
    sshd: [::1] : ALLOW
    sshd: 10.0.0.0 :ALLOW

    In diesem Beispiel sind alle lokalen Host-Verbindungen und Verbindungen erlaubt, die Clients auf dem Subnetz 10.0.0.0 herstellen.

  3. Fügen Sie die erforderliche Maschinenidentifikation hinzu, zum Beispiel Hostname, IP-Adresse, vollständig qualifizierter Domänenname (FQDN) und Loopback.
  4. Speichern und schließen Sie die Datei.