Para las conexiones remotas, todos los dispositivos protegidos incluyen el protocolo Secure Shell (SSH). Utilice SSH solo cuando sea necesario y adminístrelo correctamente para mantener la seguridad del sistema.

SSH es un entorno de línea de comandos interactivo que admite conexiones remotas con los dispositivos virtuales de VMware. De forma predeterminada, el acceso a SSH requiere credenciales de cuenta de usuario con privilegios elevados. Por lo general, las actividades de SSH del usuario raíz sortean el control de acceso basado en funciones (role-based access control, RBAC) y los controles de auditoría de los dispositivos virtuales.

Se recomienda deshabilitar SSH en un entorno de producción y habilitarlo solo para solucionar los problemas que no se puedan resolver por otros medios. Manténgalo habilitado solo mientras sea necesario para un propósito específico y en conformidad con las políticas de seguridad de la organización. En el dispositivo de vRealize Automation, SSH está deshabilitado de forma predeterminada. En función de la configuración de vSphere, puede habilitar o deshabilitar SSH al implementar la plantilla de Open Virtualization Format (OVF).

Para determinar de manera sencilla si SSH está habilitado en una máquina, intente abrir una conexión mediante SSH. Si la conexión se abre y se solicitan credenciales, SSH está habilitado y disponible para las conexiones.

Cuenta de usuario raíz de Secure Shell

Debido a que los dispositivos de VMware no incluyen cuentas de usuario preconfiguradas, la cuenta raíz puede usar SSH para iniciar sesión directamente de forma predeterminada. Deshabilite SSH como usuario raíz tan pronto como sea posible.

Para cumplir con los estándares de cumplimiento de manera que no haya rechazo, el servidor SSH de todos los dispositivos protegidos está preconfigurado con la entrada de wheel AllowGroups para restringir el acceso SSH al wheel del grupo secundario. Para separar las obligaciones, puede modificar la entrada de wheel AllowGroups en el archivo /etc/ssh/sshd_config para usar otro grupo, como sshd.

El grupo wheel está habilitado con el módulo pam_wheel para acceso de superusuarios, de modo que los miembros de grupo wheel puedan usar el comando su-root, en el que se requiere la contraseña raíz. La separación de grupos permite a los usuarios utilizar SSH en el dispositivo, pero no el comando su to root. Para garantizar el correcto funcionamiento del dispositivo, no quite ni modifique otras entradas del campo AllowGroups. Después de realizar un cambio, debe reiniciar el daemon SSH ejecutando el comando # service sshd restart.