リモート接続のために、すべてのセキュリティ強化アプライアンスに Secure Shell (SSH) プロトコルが含まれています。セキュリティ強化アプライアンスでは、デフォルトで SSH が無効になっています。
SSH は、VMware Aria Operations ノードへのリモート接続をサポートするインタラクティブなコマンドライン環境です。SSH には、権限の高いユーザー アカウント認証情報が必要です。SSH アクティビティは、通常、VMware Aria Operations ノードのロールベース アクセス制御 (RBAC) と監査制御をバイパスします。
ベスト プラクティスとして、本番環境で SSH を無効にし、他の方法で解決できない問題の診断やトラブルシューティングを行う場合にのみ、SSH を有効にします。特定の目的のためや、組織のセキュリティ ポリシーに準拠するために必要な場合に限り、SSH を有効のままにします。SSH を有効にする場合は、SSH が攻撃から保護されるようにし、必要な間のみ SSH を有効にするようにします。Open Virtualization Format (OVF) テンプレートをデプロイするときは、vSphere の構成に応じて、SSH を有効または無効にできます。
マシン上で SSH が有効になっているかどうかを判断するための簡単なテストとして、SSH を使用して接続を開きます。接続が開き、認証情報が要求されたら、SSH は有効になっており、接続に使用できます。
SSH root ユーザー
VMware アプライアンスには事前構成されたデフォルトのユーザー アカウントがないため、デフォルトで、root アカウントで SSH を使用して直接ログインできます。できるかぎり早く root として SSH を無効にします。
否認防止のコンプライアンス基準を満たすために、すべてのセキュリティ強化アプライアンスの SSH サーバには、2 番目の wheel グループへの SSH アクセスを制限する AllowGroups wheel
エントリが事前に構成されています。作業を分担するには、/etc/ssh/sshd_config ファイルで AllowGroups wheel
エントリを変更し、sshd などの別のグループを使用します。
wheel グループは、pam_wheel
モジュールによってスーパーユーザー アクセスが有効になっているため、wheel グループのメンバーは、root パスワードが必要な su-root コマンドを使用できます。グループの分離により、ユーザーはアプライアンスに対して SSH を使用できますが、su コマンドを使用して root としてログインすることはできません。アプライアンスを適切に機能させるために、AllowGroups フィールドの他のエントリの削除や変更は行わないでください。変更後に、# service sshd restart
コマンドを実行して SSH デーモンを再起動します。