Como procedimiento de seguridad recomendado, cree y configure cuentas administrativas locales de Secure Shell (SSH) en las máquinas host del dispositivo virtual. Además, también se recomienda quitar el acceso SSH raíz después de crear las cuentas apropiadas.

Por qué y cuándo se efectúa esta tarea

Cree cuentas administrativas locales para SSH o miembros del grupo wheel secundario, o ambos. Antes de deshabilitar el acceso directo a la raíz, compruebe que los administradores autorizados puedan acceder a SSH usando AllowGroups y que puedan recurrir a su to root utilizando el grupo wheel.

Procedimiento

  1. Inicie sesión en el dispositivo virtual como usuario raíz y ejecute los siguientes comandos con el nombre de usuario adecuado.
    # useradd -g users <username> -G wheel -m -d /home/username 
    			 # passwd username

    Wheel es el grupo especificado en AllowGroups para el acceso a SSH. Para agregar varios grupos secundarios, utilice -G wheel,sshd.

  2. Cambie al usuario y proporcione una contraseña nueva para aplicar la comprobación de complejidad de contraseña.
    # su –username 
    	# username@hostname:~>passwd 
    				

    Si se cumple con la complejidad de contraseña, la contraseña se actualiza. Si no se cumple con la complejidad de contraseña, se revierte a la contraseña original, y debe volver a ejecutar el comando de contraseña.

  3. Para quitar el inicio de sesión directo en SSH, modifique el archivo /etc/ssh/sshd_config reemplazando (#)PermitRootLogin yes por PermitRootLogin no.

    Opcionalmente, se puede habilitar o deshabilitar SSH en la interfaz de administración de dispositivos virtuales (VAMI) activando o desactivando la casilla de verificación Inicio de sesión de SSH de administrador habilitado en la pestaña Administración.

Qué hacer a continuación

Deshabilite los inicios de sesión directos como raíz. De forma predeterminada, los dispositivos protegidos permiten realizar el inicio de sesión directo como raíz mediante la consola. Después de crear cuentas administrativas de manera que no haya rechazo y de probarlas para el acceso de wheel de su-root, deshabilite los inicios de sesión raíz directos editando el archivo /etc/security como usuario raíz y reemplazando la entrada tty1 por console.

  1. Abra el archivo /etc/security en un editor de texto.

  2. Busque tty1 y reemplácelo por console.

  3. Guarde el archivo y ciérrelo.