Pour les connexions à distance, toutes les appliances sécurisées comprennent le protocole Secure Shell (SSH). SSH est désactivé par défaut sur l'appliance sécurisée.
SSH est un environnement de ligne de commande interactif qui prend en charge les connexions à distance vers un nœud vRealize Operations. SSH nécessite des informations d'identification de compte d'utilisateur hautement privilégié. Les activités SSH contournent généralement le contrôle d'accès basé sur les rôles et les contrôles d'audit du nœud vRealize Operations.
La meilleure pratique consiste à désactiver SSH dans l'environnement de production et de l'activer uniquement pour diagnostiquer ou résoudre les problèmes que vous ne pouvez pas résoudre par d'autres moyens. Laissez cette option activée uniquement lorsque vous en avez besoin dans un but précis et conformément aux stratégies de sécurité de votre entreprise. Si vous activez SSH, assurez-vous qu'il est protégé contre les attaques et que vous ne l'activez qu'aussi longtemps que nécessaire. Selon votre configuration vSphere, vous pouvez activer ou désactiver SSH lorsque vous déployez votre modèle Open Virtualization Format (OVF).
Pour déterminer si SSH est activé sur une machine, il suffit d'essayer d'ouvrir une connexion à l'aide de SSH. Si la connexion s'ouvre et demande les informations d'identification, SSH est activé et est disponible pour établir des connexions.
Utilisateur racine Secure Shell
Étant donné que les appliances VMware n'incluent pas de comptes d'utilisateur préconfigurés par défaut, le compte racine peut utiliser SSH pour se connecter directement par défaut. Désactivez SSH en tant que racine dès que possible.
Pour répondre aux normes de conformité en matière de non-répudiation, le serveur SSH sur toutes les appliances sécurisées est préconfiguré avec l'entrée wheel AllowGroups pour restreindre l'accès SSH au groupe wheel secondaire. Pour séparer les tâches, vous pouvez modifier l'entrée wheel AllowGroups dans le fichier /etc/ssh/sshd_config pour utiliser un autre groupe tel que sshd.
Le groupe wheel est activé avec le module pam_wheel
pour l'accès super-utilisateur, de sorte que les membres du groupe wheel peuvent utiliser la commande su-root, qui nécessite le mot de passe racine. La séparation du groupe permet aux utilisateurs d'utiliser SSH sur l'appliance, mais pas d'utiliser la commande su pour se connecter en tant qu'utilisateur racine. Évitez de supprimer ou de modifier d'autres entrées dans le champ AllowGroups, de manière à garantir le bon fonctionnement de l'appliance. Après avoir effectué une modification, redémarrez le démon SSH en exécutant la commande # service sshd restart
.