원격 연결의 경우 강화된 모든 장치에는 SSH(보안 셸) 프로토콜이 포함됩니다. 시스템 보안을 유지하려면 SSH를 필요한 경우에만 사용하고 적절하게 관리해야 합니다.

SSH는 VMware 가상 장치에 대한 원격 연결을 지원하는 대화형 명령줄 환경입니다. 기본적으로 SSH 액세스를 위해서는 높은 권한을 가진 사용자 계정 자격 증명이 필요합니다. 루트 사용자 SSH 작업은 일반적으로 RBAC(역할 기반 액세스 제어) 및 가상 장치의 감사 제어를 생략합니다.

모범 사례로 운영 환경에서는 SSH를 사용 안 함으로 설정하고, 다른 방법으로는 해결할 수 없는 문제를 해결할 때만 활성화합니다. 특정 용도로 필요한 경우에만 조직의 보안 정책에 따라 SSH를 사용 가능한 상태로 둡니다. vRealize Automation 장치에서 SSH는 기본적으로 사용하지 않도록 설정됩니다. vSphere 구성에 따라 OVF(Open Virtualization Format) 템플릿 배포 시 SSH를 사용 또는 사용 안 함으로 설정할 수 있습니다.

시스템에서 SSH가 사용하도록 설정되었는지를 테스트하는 가장 간단한 방법은 SSH를 사용하여 연결을 열어보는 것입니다. 연결이 열리고 자격 증명 요청 메시지가 표시되면 SSH가 사용하도록 설정되고 연결에 사용 가능한 상태입니다.

보안 셸 루트 사용자 계정

VMware 장치에는 미리 구성된 사용자 계정이 포함되어 있지 않기 때문에 기본적으로 루트 계정이 SSH를 사용하여 직접 로그인할 수 있습니다. SSH는 루트 권한으로 가능한 빨리 사용 안 함으로 설정해야 합니다.

거부 없음에 대한 규정 표준을 준수하기 위해 모든 강화된 장치에서 SSH 서버에는 AllowGroups 휠 항목이 미리 구성되어 SSH 액세스가 보조 그룹 휠로 제한됩니다. 책임 분담을 위해 /etc/ssh/sshd_config 파일에서 sshd 같이 다른 그룹을 사용하도록 AllowGroups 휠 항목을 수정할 수 있습니다.

휠 그룹은 수퍼유저 액세스를 위해 pam_wheel 모듈을 사용하도록 설정되므로 휠 그룹의 구성원은 루트로 su할 수 있으며, 이때 루트 암호가 필요합니다. 그룹을 분리하면 사용자가 SSH를 통해 장치에 연결할 수 있지만 루트로 su할 수 없습니다. 장치 기능이 올바르게 작동하도록 AllowGroups 필드의 다른 항목은 제거하거나 수정하지 마십시오. 값을 변경한 후에는 # service sshd restart 명령을 실행하여 SSH 대몬을 다시 시작해야 합니다.