원격 연결을 사용하려면 강화된 모든 어플라이언스에 SSH(보안 셸) 프로토콜이 포함되어야 합니다. 강화된 어플라이언스에서 SSH는 기본적으로 비활성화됩니다.
SSH는 VMware Aria Operations 노드에 대한 원격 연결을 지원하는 대화형 명령줄 환경입니다. SSH를 사용하려면 높은 수준의 권한이 있는 사용자 계정 자격 증명이 필요합니다. SSH 작업은 일반적으로 VMware Aria Operations 노드의 RBAC(역할 기반 액세스 제어) 및 감사 제어를 생략합니다.
모범 사례로, 운영 환경에서 SSH를 비활성화하고 문제를 진단하거나 다른 방법으로 해결할 수 없는 문제를 해결할 때만 활성화합니다. 특정 목적에 필요한 동안에만 조직의 보안 정책에 따라 활성화합니다. SSH를 활성화한 경우 공격으로부터 안전한지 확인하고 필요한 동안만 활성화해야 합니다. vSphere 구성에 따라 OVF(Open Virtualization Format) 템플릿을 배포할 때 SSH를 활성화하거나 비활성화할 수 있습니다.
시스템에서 SSH가 활성화되었는지 여부를 간단히 테스트하려면 SSH를 사용하여 연결을 열어 보십시오. 연결이 열리고 자격 증명이 요청되면 SSH가 활성화된 것이고 연결 시 SSH를 사용할 수 있습니다.
보안 셸 루트 사용자
VMware 어플라이언스에는 사전 구성된 기본 사용자 계정이 포함되지 않으므로 기본적으로 루트 계정으로 SSH를 사용하여 직접 로그인할 수 있습니다. 가능한 빨리 루트로 SSH를 비활성화합니다.
부인 방지에 대한 규정 준수 표준을 준수하기 위해 강화된 모든 어플라이언스의 SSH 서버는 SSH 액세스를 보조 그룹 휠로 제한하는 AllowGroups wheel
항목으로 사전 구성됩니다. 직무 분리를 위해 /etc/ssh/sshd_config 파일의 AllowGroups wheel
항목을 sshd와 같은 다른 그룹을 사용하도록 수정할 수 있습니다.
이 휠 그룹은 수퍼유저 액세스를 위해 pam_wheel
모듈을 통해 활성화되므로 휠 그룹 구성원이 su-root 명령을 사용할 수 있습니다. 이 명령을 사용하려면 루트 비밀번호가 필요합니다. 그룹을 분리하면 사용자가 SSH를 사용하여 어플라이언스에 연결할 수 있지만 su 명령을 사용하여 루트로 로그인할 수는 없습니다. AllowGroups 필드의 다른 항목은 제거하거나 수정하지 마십시오. 어플라이언스가 제대로 기능하지 않을 수 있습니다. 변경이 완료되면 # service sshd restart
명령을 실행하여 SSH 대몬을 다시 시작합니다.