リモート接続のため、セキュリティ強化されたすべてのアプライアンスにセキュア シェル (SSH) プロトコルが含まれます。システムのセキュリティを維持するためには、必要な場合にのみ SSH を使用して、適切に管理します。

SSH は、VMware 仮想アプライアンスに対するリモート接続をサポートするインタラクティブなコマンドライン環境です。デフォルトで、SSH アクセスには高い権限を持つユーザー アカウントの認証情報が必要です。root ユーザーの SSH アクティビティは一般にロールベースのアクセス制御 (RBAC) と仮想アプライアンスの監査制御をバイパスします。

ベスト プラクティスとして、本番環境で SSH を無効にし、その他の方法で解決できない問題をトラブルシューティングする場合にのみ有効にします。特定の目的で、組織のセキュリティ ポリシーに従って必要な間だけ有効にします。vRealize Automation アプライアンス ではデフォルトで SSH が無効です。vSphere の構成によっては、Open Virtualization Format (OVF) テンプレートを展開するときに SSH を有効または無効にすることがあります。

マシンで SSH が有効になっているかどうかを決定する単純なテストとしては、SSH を使用して接続を開くことを試行します。接続が開き、認証情報が要求される場合、SSH は有効で接続に使用できます。

セキュア シェル root ユーザー アカウント

VMware アプライアンスでは事前構成済みのユーザー アカウントがないため、root アカウントはデフォルトで SSH を使用して直接ログインできます。できるだけ早く root として SSH を無効にします。

非否認に関するコンプライアンス標準を満たすため、すべてのセキュリティ強化アプライアンスで SSH サーバは、セカンダリ グループ wheel への SSH アクセスを制限するように AllowGroups wheel エントリが事前設定されています。役目を分離するため、sshd などの別のグループを使用するように /etc/ssh/sshd_config ファイルの AllowGroups wheel エントリを変更することができます。

wheel グループは pam_wheel モジュールによってスーパーユーザーのアクセスが有効になっており、wheel グループのメンバーは su root を実行できます(root パスワードが必要です)。グループの分離を使用すると、ユーザーはアプライアンスに対して SSH を実行できますが、su を実行して root 権限に切り替えることはできません。AllowGroups フィールドのその他のエントリはアプライアンスの適切な機能に確保しているため、削除したり変更したりしないでください。変更後は、コマンド # service sshd restart を実行して SSH デーモンを再起動する必要があります。