セキュリティのベスト プラクティスとして、仮想アプライアンス ホスト マシンで セキュア シェル (SSH) のローカル管理アカウントを作成して構成します。また、適切なアカウントを作成した後は、root による SSH アクセスを削除します。

このタスクについて

SSH のローカル管理アカウント、またはセカンダリ wheel グループのメンバー、またはその両方を作成します。直接 root アクセスを無効にする前に、許可された管理者が AllowGroups を使用して SSH にアクセスできることと、wheel グループを使用して su を実行して root 権限に切り替えられることをテストします。

手順

  1. root として仮想アプライアンスにログインし、適切なユーザー名で次のコマンドを実行します。
    # useradd -g users <username> -G wheel -m -d /home/username 
    			 # passwd username

    wheel は、AllowGroups に ssh アクセスのために指定されたグループです。複数のセカンダリ グループを追加するには、 -G wheel,sshd を使用します。

  2. このユーザーに切り替えて新しいパスワードを指定し、パスワードの複雑性の確認を実施します。
    # su –username 
    	# username@hostname:~>passwd 
    				

    パスワードの複雑性が要件を満たしている場合は、パスワードが更新されます。パスワードの複雑性が要件を満たしていない場合、パスワードは元のパスワードに戻され、パスワード コマンドを再実行する必要があります。

  3. SSH への直接ログインを削除するには、/etc/ssh/sshd_config ファイルを編集して、(#)PermitRootLogin yesPermitRootLogin no に置き換えます。

    または、仮想アプライアンス管理インターフェイス (VAMI) の 管理 タブで 管理者の SSH ログインを有効化 チェック ボックスの選択を切り替えることで、SSH を有効または無効にできます。

次のタスク

root としての直接ログインを無効にします。デフォルトで、強化されたアプライアンスは、コンソールを通じた root への直接ログインを許可します。否認防止のための管理アカウントを作成し、それらのアカウントで su root による wheel アクセスをテストしたら、root として /etc/security ファイルを編集して、tty1 エントリを console に置き換えて、直接 root ログインを無効にします。