Wenn möglich, verfügt die Virtual Application Installation (OVF) über eine standardmäßig gehärtete Konfiguration. Benutzer können überprüfen, ob ihre Konfiguration entsprechend gehärtet ist, indem Sie den Server- und Client-Dienst im Abschnitt mit globalen Optionen der Konfigurationsdatei untersuchen.

Falls möglich, beschränken Sie den SSH-Server in der Datei /etc/hosts.allow auf ein Verwaltungsunternetz.

Prozedur

  1. Öffnen Sie die Serverkonfigurationsdatei /etc/ssh/sshd_config, und überprüfen Sie, ob die Einstellungen korrekt sind.
    Einstellung Status
    Server-Daemonprotokoll Protocol 2
    Verschlüsselungen aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
    TCP-Weiterleitung AllowTCPForwarding nein
    Server Gateway-Ports Gateway-Ports nein
    X11-Weiterleitung X11Forwarding nein
    SSH-Dienst Verwenden Sie das Feld „AllowGroups“, um eine Gruppe festzulegen, für die der Zugriff zulässig ist, und fügen Sie Mitglieder zur sekundären Gruppe der Benutzer hinzu, die den Dienst verwenden dürfen.
    GSSAPI-Authentifizierung GSSAPIAuthentication nein, sofern nicht verwendet
    Kerberos-Authentifizierung KerberosAuthentication ein, sofern nicht verwendet
    Lokale Variablen (globale AcceptEnv-Option) Auf deaktiviert durch Auskommentieren oder nur für LC_* oder LANG Variablen aktiviert festlegen
    Tunnel-Konfiguration PermitTunnel nein
    Netzwerksitzungen MaxSessions 1
    Strikte Modusüberprüfung Strikte Modi ja
    Berechtigungstrennung UsePrivilegeSeparation ja
    rhosts RSA-Authentifizierung RhostsRSAAuthentication nein
    Komprimierung Komprimierung verzögert oder Komprimierung nein
    Meldungsauthentifizierungscode hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-sha1
    Benutzerzugriffeinschränkung PermitUserEnvironment nein
    KexAlgorithms diffie-hellman-group14-sha1,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521
  2. Speichern Sie die Änderungen, und schließen Sie die Datei.