Pour les connexions à distance, toutes les appliances sécurisées comprennent le protocole Secure Shell (SSH). SSH est désactivé par défaut sur le dispositif renforcé.
SSH est un environnement de ligne de commande interactif qui prend en charge les connexions à distance vers un nœud VMware Aria Operations. SSH nécessite des informations d'identification de compte d'utilisateur hautement privilégié. Les activités SSH contournent généralement le contrôle d'accès basé sur les rôles et les contrôles d'audit du nœud VMware Aria Operations.
La meilleure pratique consiste à désactiver SSH dans l'environnement de production et à l'activer uniquement pour diagnostiquer ou résoudre les problèmes que vous ne pouvez pas résoudre par d'autres moyens. Laissez cette option activée uniquement lorsque vous en avez besoin dans un but précis et conformément aux stratégies de sécurité de votre entreprise. Si vous activez SSH, assurez-vous qu'il est protégé contre les attaques et que vous ne l'activez qu'aussi longtemps que nécessaire. Selon votre configuration de vSphere, vous pouvez activer ou désactiver SSH lorsque vous déployez votre modèle Open Virtualization Format (OVF).
Pour déterminer si SSH est activé sur une machine, il suffit d'essayer d'ouvrir une connexion à l'aide de SSH. Si la connexion s'ouvre et demande les informations d'identification, SSH est activé et disponible pour établir des connexions.
Utilisateur racine Secure Shell
Étant donné que les appliances VMware n'incluent pas de comptes d'utilisateur préconfigurés par défaut, le compte racine peut utiliser SSH pour se connecter directement par défaut. Désactivez SSH en tant que racine dès que possible.
Pour répondre aux normes de conformité en matière de non-répudiation, le serveur SSH sur tous les dispositifs sécurisés est préconfiguré avec l'entrée AllowGroups wheel
pour restreindre l'accès SSH au groupe wheel secondaire. Pour séparer les tâches, vous pouvez modifier l'entrée AllowGroups wheel
dans le fichier /etc/ssh/sshd_config pour utiliser un autre groupe, tel que sshd.
Le groupe wheel est activé avec le module pam_wheel
pour l'accès super-utilisateur, de sorte que les membres du groupe wheel peuvent utiliser la commande su-root, qui nécessite le mot de passe racine. La séparation du groupe permet aux utilisateurs d'utiliser SSH sur le dispositif, mais pas d'utiliser la commande su pour se connecter en tant qu'utilisateur racine. Évitez de supprimer ou de modifier d'autres entrées dans le champ AllowGroups, de manière à garantir le bon fonctionnement de l'appliance. Après avoir effectué une modification, redémarrez le démon SSH en exécutant la commande # service sshd restart
.