Pour garantir la sécurité, il est recommandé de créer et de configurer des comptes administratifs locaux pour Secure Shell (SSH) sur vos machines hôtes de dispositif virtuel. En outre, supprimez l'accès SSH racine après la création des comptes appropriés.

Pourquoi et quand exécuter cette tâche

Créez des comptes administratifs locaux pour SSH ou pour les membres du groupe wheel secondaire, ou pour les deux. Avant de désactiver un accès racine direct, vérifiez que les administrateurs autorisés peuvent accéder à SSH à l'aide d'AllowGroups, et qu'ils peuvent utiliser l'accès su-to-root avec le groupe wheel.

Procédure

  1. Connectez-vous au dispositif virtuel en tant qu'utilisateur racine et exécutez les commandes suivantes avec le nom d'utilisateur approprié.
    # useradd -g users <username> -G wheel -m -d /home/username 
    			 # passwd username

    Wheel est le groupe spécifié dans AllowGroups pour les accès SSH. Pour ajouter plusieurs groupes secondaires, utilisez -G wheel,sshd.

  2. Fournissez ensuite un nouveau mot de passe pour l'utilisateur afin d'appliquer la vérification de la complexité du mot de passe.
    # su –username 
    	# username@hostname:~>passwd 
    				

    Si la complexité du mot de passe est conforme, le mot de passe est mis à jour. Si la complexité du mot de passe n'est pas conforme, le mot de passe d'origine est rétabli et vous devez relancer la commande de mot de passe.

  3. Pour supprimer une connexion directe à SSH, modifiez le fichier /etc/ssh/sshd_config en remplaçant (#)PermitRootLogin yes par PermitRootLogin no.

    Vous pouvez également activer ou désactiver SSH dans l'interface VAMI (Virtual Appliance Management Interface) en activant ou en désactivant la case Connexion SSH de l'administrateur activée dans l'onglet Admin.

Que faire ensuite

Désactivez les connexions directes en tant qu'utilisateur racine. Par défaut, les dispositifs renforcés autorisent une connexion directe à la racine via la console. Une fois que vous avez créé des comptes administratifs pour la non-répudiation et les avez testés pour un accès wheel su-root, désactivez les connexions racines directes en modifiant le fichier /etc/security en tant qu'utilisateur racine et en remplaçant l'entrée tty1 par console.