Per le connessioni remote, tutte le appliance con protezione avanzata includono il protocollo Secure Shell (SSH). Utilizzare SSH solo se necessario e gestirlo in modo appropriato per preservare la sicurezza del sistema.

SSH è un ambiente interattivo da riga di comando che supporta le connessioni remote alle appliance virtuali VMware. Per impostazione predefinita, l'accesso a SSH richiede credenziali di account utente con privilegi elevati. In genere, le attività SSH dell'utente root escludono il controllo degli accessi in base al ruolo (RBAC) e i controlli delle appliance virtuali.

È consigliabile disattivare SSH negli ambienti di produzione e attivarlo solo per la risoluzione dei problemi che non possono essere risolti in altro modo. Lasciarlo abilitato solo per il tempo necessario a raggiungere uno scopo specifico e nel rispetto dei criteri di protezione dell'organizzazione. Nell'appliance vRealize Automation SSH è disabilitato per impostazione predefinita. In base alla configurazione di vSphere in uso, SSH può essere abilitato o disabilitato quando si distribuisce il proprio modello OVF (Open Virtualization Format).

Per sapere se in una macchina è abilitato SSH, è sufficiente provare ad aprire una connessione utilizzando il protocollo SSH. Se la connessione viene stabilita e vengono richieste le credenziali, significa che SSH è abilitato e disponibile per le connessioni.

Account utente root di SSH

Poiché le appliance VMware non includono account utente preconfigurati, l'account root può utilizzare SSH per accedere direttamente per impostazione predefinita. Disabilitare SSH come root non appena possibile.

Per rispettare gli standard di conformità per il non ripudio, il server SSH in tutte le appliance con protezione avanzata è preconfigurato con la voce AllowGroups wheel per limitare l'accesso SSH al gruppo wheel secondario. Per separare i compiti, è possibile modificare la voce AllowGroups wheel nel file /etc/ssh/sshd_config in modo che utilizzi un altro gruppo, ad esempio sshd.

Il gruppo wheel è abilitato con il modulo pam_wheel per l'accesso superuser, pertanto i membri del gruppo wheel possono utilizzare su-root quando è richiesta la password di root. La separazione dei gruppi consente agli utenti di connettersi all'appliance tramite SSH, ma non di utilizzare su-to-root. Non rimuovere o modificare le altre voci nel campo AllowGroups per assicurare il corretto funzionamento dell'appliance. Dopo aver apportato una modifica, è necessario riavviare il daemon SSH eseguendo il comando: # service sshd restart.