Für Remote-Verbindungen umfassen alle abgehärteten Appliances das Secure Shell-Protokoll (SSH). SSH ist auf der abgehärteten Appliance standardmäßig deaktiviert.
SSH ist eine interaktive Befehlszeilenumgebung, die Remote-Verbindungen zu einem vRealize Operations-Knoten unterstützt. SSH erfordert Anmeldeinformationen von einem Benutzerkonto mit weitreichenden Berechtigungen. SSH-Aktivitäten umgehen im Allgemeinen die rollenbasierte Zugriffskontrolle (Role-based Access Control, RBAC) und Auditkontrollen des vRealize Operations-Knotens.
Deaktivieren Sie SSH in einer Produktionsumgebung als Best Practice und aktivieren Sie sie nur für die Diagnose und Fehlerbehebung bei Problemen, die nicht anderweitig behoben werden können. Lassen Sie sie nur bei Bedarf, für einen bestimmten Zweck und entsprechend den Sicherheitsrichtlinien Ihrer Organisation aktiviert. Wenn Sie SSH aktivieren, stellen Sie sicher, dass sie vor Angriffen geschützt ist und dass Sie sie nur solange wie erforderlich aktivieren. Abhängig von Ihrer vSphere-Konfiguration können Sie SSH aktivieren oder deaktivieren, wenn Sie Ihre Open Virtualization Format-Vorlage (OVF-Vorlage) bereitstellen.
Als einfacher Test, um festzustellen, ob SSH auf einem Computer aktiviert ist, versuchen Sie, eine Verbindung über SSH zu öffnen. Wenn Sie Verbindung geöffnet wird und Anmeldeinformationen abgefragt werden, ist SSH aktiviert und steht für die Herstellung von Verbindungen zur Verfügung.
Secure Shell-Root-Benutzer
Da VMware-Appliances keine vorkonfigurierten, standardmäßigen Benutzerkonten enthalten, kann das Root-Konto standardmäßig SSH verwenden, um sich direkt anzumelden. Deaktivieren Sie SSH so schnell wie möglich als Root.
Um die Compliance-Standards für Nachweisführung zu erfüllen, ist der SSH-Server auf allen abgehärteten Appliances mit dem Radeintrag AllowGroups vorkonfiguriert, um den SSH-Zugriff auf das sekundäre Gruppenrad einzuschränken. Um die Aufgaben zu trennen, können Sie den Radeintrag AllowGroups in der Datei /etc/ssh/sshd_config anpassen, um eine andere Gruppe wie sshd zu verwenden.
Die Radgruppe ist mit dem pam_wheel
-Modul für Superuser-Zugriff aktiviert, sodass Mitglieder der Radgruppe den su-root-Befehl verwenden können, für den das Root-Kennwort erforderlich ist. Durch die Trennung von Gruppen können Benutzer SSH für die Appliance verwenden, jedoch nicht den su-Befehl, um sich als Root anzumelden. Entfernen oder ändern Sie keine anderen Einträge im Feld AllowGroups, um die korrekte Funktion der Appliance sicherzustellen. Nachdem Sie die Änderungen vorgenommen haben, starten Sie den SSH-Daemon neu, indem Sie den Befehl # service sshd restart
ausführen.