Pour les connexions à distance, tous les dispositifs renforcés incluent le protocole SSH (Secure Shell). Utilisez uniquement le protocole SSH lorsque cela est nécessaire et gérez-le de façon à préserver la sécurité du système.

SSH est un environnement interactif de ligne de commande qui prend en charge les connexions à distance aux dispositifs virtuels VMware. Par défaut, l'accès SSH nécessite des informations d'identification de compte d'utilisateur avec des privilèges élevés. Les activités SSH de l'utilisateur racine contournent généralement le contrôle d'accès basé sur les rôles (RBAC) et les audits des dispositifs virtuels.

Il est recommandé de désactiver le mode SSH dans un environnement de production et de l'activer uniquement pour résoudre les problèmes que vous ne pouvez pas résoudre par d'autres moyens. Cette option doit rester activée uniquement pour des objectifs spécifiques et conformément aux stratégies de sécurité de votre organisation. Le mode SSH est désactivé par défaut sur le dispositif dispositif vRealize Automation. Selon votre configuration vSphere, vous pouvez activer ou désactiver le mode SSH lors du déploiement du modèle OVF (Open Virtualization Format).

Pour opérer un test simple et déterminer si le mode SSH est activé sur une machine, essayez d'ouvrir une connexion via SSH. Si la connexion s'ouvre et que des informations d'identification sont demandées, le mode SSH est activé et disponible pour les connexions.

Compte d'utilisateur racine SSH (Secure Shell)

Les dispositifs VMware n'incluant pas de comptes d'utilisateur préconfigurés, le compte racine peut utiliser le mode SSH pour se connecter directement par défaut. Désactivez le mode SSH en tant qu'utilisateur racine dès que possible.

À des fins de conformité avec les normes de non-répudiation, le serveur SSH de tous les dispositifs renforcés est préconfiguré avec l'entrée du groupe wheel AllowGroups pour limiter l'accès SSH au groupe secondaire (wheel). Pour séparer les tâches, vous pouvez modifier le champ AllowGroups du groupe wheel dans le fichier /etc/ssh/sshd_config pour utiliser un autre groupe tel que sshd.

Le groupe wheel est activé avec le module pam_wheel pour l'accès superutilisateur, ce qui permet aux membres du groupe wheel d'utiliser su-root, où le mot de passe racine est requis. La séparation des groupes permet aux utilisateurs d'utiliser le mode SSH pour le dispositif, mais pas d'utiliser le script su-to-root. Ne supprimez ni ne modifiez aucune autre entrée dans le champ AllowGroups, afin d'assurer le bon fonctionnement du dispositif. Une fois la modification effectuée, redémarrez le démon SSH en exécutant la commande suivante : # service sshd restart.