Gestión de Secure Shell, cuentas administrativas y acceso a la consola

Para las conexiones remotas, todos los dispositivos protegidos incluyen el protocolo Secure Shell (SSH). SSH está deshabilitado de forma predeterminada en el dispositivo protegido.

SSH es un entorno interactivo de línea de comandos que admite conexiones remotas a un nodo de vRealize Operations. SSH necesita credenciales de cuenta de usuario con privilegios elevados. En general, las actividades de SSH omiten el control de acceso basado en funciones (RBAC) y los controles de auditoría del nodo de vRealize Operations.

Como recomendación, deshabilite SSH en un entorno de producción y habilítelo solo para diagnosticar o solucionar problemas que no se puedan resolver por otros medios. Déjelo habilitado solo mientras sea necesario para una finalidad específica y según las políticas de seguridad de su organización. Si habilita SSH, asegúrese de que está protegido contra los ataques y que lo habilita solamente mientras sea necesario. Según la configuración de vSphere, puede habilitar o deshabilitar SSH cuando se implementa la plantilla OVF (Open Virtualization Format, formato de virtualización abierto).

Una prueba sencilla para determinar si SSH está habilitado en una máquina es intentar abrir una conexión mediante SSH. Si la conexión se abre y solicita credenciales, significa que SSH está habilitado y disponible para establecer conexiones.

Usuario root de Secure Shell

Como los dispositivos de VMware no incluyen cuentas de usuario predeterminadas ya configuradas, la cuenta root puede usar SSH directamente para iniciar sesión de manera predeterminada. Deshabilite SSH como usuario root lo antes posible.

Para cumplir los estándares para evitar el rechazo, el servidor SSH está preconfigurado en todos los dispositivos protegidos con la entrada wheel para restringir el acceso de SSH al grupo wheel secundario. Para separar las obligaciones, puede modificar la entrada wheel de AllowGroups en el archivo /etc/ssh/sshd_config para usar otro grupo, como sshd.

El grupo wheel está habilitado con el módulo pam_wheel para el acceso de superusuario, por lo que los miembros del grupo wheel pueden usar el comando su-root, en el cual se precisa la contraseña raíz. La separación de grupos permite a los usuarios usar SSH en el dispositivo, pero no el comando "su" para iniciar sesión como usuario raíz. No elimine ni modifique otras entradas del campo AllowGroups, lo que garantiza el funcionamiento correcto del dispositivo. Después de realizar un cambio, ejecute el comando # service sshd restart para reiniciar el daemon SSH.