Les clés autorisées vous permettent d'activer l'accès à un hôte ESXi via SSH sans demander d'authentification d'utilisateur. Pour renforcer la sécurité de l'hôte, ne permettez pas aux utilisateurs d'accéder à un hôte en utilisant des clés autorisées.

Pourquoi et quand exécuter cette tâche

Un utilisateur est considéré comme approuvé si sa clé publique est dans le fichier /etc/ssh/keys-root/authorized_keys d'un hôte. Les utilisateurs distants approuvés sont autorisés à accéder à l'hôte sans fournir de mot de passe.

Procédure

  • Pour les opérations quotidiennes, désactivez SSH sur les hôtes ESXi.
  • Si SSH est désactivé, même temporairement, contrôlez le contenu du fichier /etc/ssh/keys-root/authorized_keys, afin de vous assurer qu'aucun utilisateur n'est autorisé à accéder à l'hôte sans authentification adéquate.
  • Contrôlez le fichier /etc/ssh/keys-root/authorized_keys, afin de vérifier qu'il est vide et qu'aucune clé SSH n'a été ajoutée au fichier.
  • Si vous découvrez que le fichier /etc/ssh/keys-root/authorized_keys n'est pas vide, supprimez toutes les clés.

Résultats

La désactivation de l'accès à distance à l'aide de clés autorisées peut limiter votre capacité à exécuter des commandes à distance sur un hôte sans fournir d'identifiant de connexion valide. Cela pourrait par exemple vous empêcher d'exécuter un script sans assistance à distance.