システム セキュリティ強化プロセスの一環として、すべての VMware 仮想アプライアンス ホスト マシン上で tcp_wrappers パッケージを適切に構成することにより SSH アクセスを制限します。また、こうしたアプライアンスで必要な SSH キー ファイルの権限を維持します。

このタスクについて

すべての VMware 仮想アプライアンスには、libwrapped デーモンにアクセスできるネットワーク サブネットを tcp-supported デーモンで制御することを可能にするための tcp_wrappers パッケージが含まれます。デフォルトでは /etc/hosts.allow ファイルには、SSH へのすべてのアクセスを許可する汎用エントリ sshd: ALL : ALLOW が含まれます。組織の要件に応じてこのアクセスを制限します。

手順

  1. テキスト エディタで仮想アプライアンス ホスト マシン上の /etc/hosts.allow ファイルを開きます。
  2. 安全な運用のために、本番環境ではローカル ホスト エントリおよび管理ネットワーク サブネットのみを含めるように汎用エントリを変更します。
    sshd:127.0.0.1 : ALLOW
    sshd: [::1] : ALLOW
    sshd: 10.0.0.0 :ALLOW

    この例では、すべてのローカル ホスト接続、およびクライアントが 10.0.0.0 サブネット上で行う接続が許可されます。

  3. すべての適切なマシン ID、たとえばホスト名、IP アドレス、完全修飾ドメイン名 (FQDN)、loopback などを追加します。
  4. ファイルを保存して閉じます。