Wenn möglich, verfügt die Virtual Application Installation (OVF) über eine standardmäßig gehärtete Konfiguration. Benutzer können überprüfen, ob ihre Konfiguration entsprechend gehärtet ist, indem Sie den Server- und Client-Dienst im Abschnitt mit globalen Optionen der Konfigurationsdatei untersuchen.

Prozedur

  1. Öffnen Sie die Serverkonfigurationsdatei /etc/ssh/sshd_config, und überprüfen Sie, ob die Einstellungen korrekt sind.
    Einstellung Status
    Server-Daemonprotokoll Protocol 2
    Verschlüsselungen [email protected],[email protected],aes256-ctr,aes192-ctr,aes128-ctr
    TCP-Weiterleitung AllowTCPForwarding nein
    Server Gateway-Ports Gateway-Ports nein
    X11-Weiterleitung X11Forwarding nein
    SSH-Dienst Verwenden Sie das Feld „AllowGroups“, um eine Gruppe festzulegen, für die der Zugriff zulässig ist, und fügen Sie Mitglieder zur sekundären Gruppe der Benutzer hinzu, die den Dienst verwenden dürfen.
    GSSAPI-Authentifizierung GSSAPIAuthentication nein, sofern nicht verwendet
    Kerberos-Authentifizierung KerberosAuthentication ein, sofern nicht verwendet
    Lokale Variablen (globale AcceptEnv-Option) Auf deaktiviert durch Auskommentieren oder nur für LC_* oder LANG Variablen aktiviert festlegen
    Tunnel-Konfiguration PermitTunnel nein
    Netzwerksitzungen MaxSessions 1
    Strikte Modusüberprüfung Strikte Modi ja
    Berechtigungstrennung UsePrivilegeSeparation ja
    rhosts RSA-Authentifizierung RhostsRSAAuthentication nein
    Komprimierung Komprimierung verzögert oder Komprimierung nein
    Meldungsauthentifizierungscode [email protected],[email protected],[email protected],hmac-sha2-512,hmac-sha2-256,hmac-sha1
    Benutzerzugriffeinschränkung PermitUserEnvironment nein
    KexAlgorithms diffie-hellman-group14-sha1,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521
  2. Stellen Sie sicher, dass die Zeile ListenAddress nicht auskommentiert ist und auf eine gültige lokale IP-Adresse festgelegt ist.
    Beispiel: ListenAddress 0.0.0.0.

    Ersetzen Sie 0.0.0.0 durch die IP-Adresse des vRealize Operations-Knotens.

    Beispiel: ListenAddress 192.168.168.10.

  3. Speichern Sie die Änderungen, und schließen Sie die Datei. Führen Sie an der Befehlszeile den folgenden Befehl aus, um die geänderten Einstellungen zu übernehmen: # systemctl restart sshd.service.