可能な場合、Virtual Application のインストール (OVF) には強化されたデフォルト構成が用意されています。ユーザーは、構成ファイルのグローバル オプション セクションにあるサーバおよびクライアント サービスを調べて、構成が適切に強化されていることを確認できます。

手順

  1. サーバ構成ファイル /etc/ssh/sshd_config を開き、設定が正しいことを確認します。
    設定 ステータス
    Server Daemon Protocol Protocol 2
    Ciphers aes256-gcm@openssh.com、aes128-gcm@openssh.com、aes256-ctr、aes192-ctr、aes128-ctr
    TCP Forwarding AllowTCPForwarding no
    Server Gateway Ports Gateway Ports no
    X11 Forwarding X11Forwarding no
    SSH Service AllowGroups フィールドを使用して、アクセスが許可されるグループを指定し、サービスの使用が許可されるユーザー用のセカンダリ グループにメンバーを追加します。
    GSSAPI Authentication GSSAPIAuthentication no(未使用の場合)
    Kerberos Authentication KerberosAuthentication no(未使用の場合)
    Local Variables(AcceptEnv グローバル オプション) コメントアウトして disabled に設定するか、LC_* または LANG 変数のみに対して enabled に設定
    Tunnel Configuration PermitTunnel no
    Network Sessions MaxSessions 1
    Strict Mode Checking Strict Modes yes
    Privilege Separation UsePrivilegeSeparation yes
    rhosts RSA Authentication RhostsRSAAuthentication no
    Compression Compression delayed または Compression no
    Message Authentication code hmac-sha2-512-etm@openssh.com、hmac-sha2-256-etm@openssh.com、hmac-sha1-etm@openssh.com、hmac-sha2-512、hmac-sha2-256、hmac-sha1
    User Access Restriction PermitUserEnvironment no
    KexAlgorithms diffie-hellman-group14-sha1、ecdh-sha2-nistp256、ecdh-sha2-nistp384、ecdh-sha2-nistp521
  2. 確実に、ListenAddress 行をコメント解除し、有効なローカル IP アドレスを設定します。
    たとえば、 ListenAddress 0.0.0.0 の場合

    0.0.0.0vRealize Operations ノードの IP アドレスに置き換えます。

    置き換えると、ListenAddress 192.168.168.10 のようになります。

  3. 変更内容を保存し、ファイルを閉じます。コマンド ラインで、# systemctl restart sshd.service コマンドを実行して、変更された設定を適用します。