Las claves autorizadas permiten habilitar el acceso a un host ESXi a través de SSH sin necesitar autenticación del usuario. Para aumentar la seguridad del host, no permite que los usuarios accedan a este con claves autorizadas.

Por qué y cuándo se efectúa esta tarea

Un usuario se considera confiable si su clave pública está en el archivo /etc/ssh/keys-root/authorized_keys de un host. Los usuarios remotos confiables tienen permiso de acceder al host sin proporcionar una contraseña.

Procedimiento

  • Para realizar las operaciones diarias, deshabilite SSH en los hosts ESXi.
  • Si SSH está deshabilitado, incluso temporalmente, supervise el contenido del archivo /etc/ssh/keys-root/authorized_keys para asegurarse de que ningún usuario tenga permiso de acceder al host sin la autenticación correspondiente.
  • Supervise el archivo /etc/ssh/keys-root/authorized_keys para verificar que esté vacío y que no se hayan agregado claves de SSH en él.
  • Si ve que el archivo /etc/ssh/keys-root/authorized_keys no está vacío, elimine las claves que contenga.

Resultados

Al deshabilitar el acceso remoto con claves autorizadas, es posible que se limite la capacidad de ejecutar comandos de forma remota en un host sin proporcionar los datos de inicio de sesión correspondientes. Por ejemplo, esto puede impedir la ejecución de un script remoto desatendido.