De aanbevolen beveiligingsprocedure is lokale beheerdersaccounts voor Secure Shell (SSH) te maken en te configureren op de hostmachines van uw virtual appliances. Daarnaast moet u toegang tot de SSH-hoofdmap uitschakelen nadat u de accounts hebt gemaakt.

Over deze taak

Maak lokale beheerdersaccounts voor SSH, leden van de secundaire 'wheel-groep' of beide. Voordat u toegang tot de hoofdmap uitschakelt, moet u testen of geautoriseerde beheerders toegang hebben tot SSH met AllowGroups, en of zij su naar de root kunnen uitvoeren via de wheel-groep.

Procedure

  1. Meld u als root aan bij de virtual appliances en voer de volgende opdrachten met de bijbehorende gebruikersnaam.
    # useradd -g users <username> -G wheel -m -d /home/gebruikersnaam 
    			 # passwd username

    Wheel is de groep zoals gespecificeerd in AllowGroups voor SSH-toegang. Gebruik -G wheel,sshd om meerdere secundaire groepen toe te voegen.

  2. Schakel naar de gebruiker en geef een nieuw wachtwoord op om dit te controleren op complexiteit.
    # su –gebruikersnaam 
    	# gebruikersnaam@hostnaam:~>passwd 
    				

    Als het wachtwoord de gewenste complexiteit heeft, wordt het wachtwoord bijgewerkt. Als het wachtwoord niet de gewenste complexiteit heeft, wordt het oorspronkelijke wachtwoord teruggezet en moet u de wachtwoordopdracht opnieuw uitvoeren.

  3. Als u rechtstreeks aanmelden bij SSH wilt verwijderen, moet u het bestand /etc/ssh/sshd_config aanpassen door (#)PermitRootLogin yes te vervangen door PermitRootLogin no.

    U kunt ook SSH in de Virtual Appliance Management Interface (VAMI) inschakelen/uitschakelen door het selectievakje Bij SSH aanmelden als beheerder ingeschakeld op het tabblad Beheer in of uit te schakelen.

Volgende stappen

Schakel rechtstreeks aanmelden als root uit. De verharde toepassingen staan rechtstreeks aanmelden als root via de console standaard toe. Als u beheerdersaccounts hebt gemaakt voor niet-afwijzing en hebt getest op openen via su naar de root, schakelt u rechtstreeks aanmelden als root uit door het bestand /etc/security als root te bewerken en de invoer tty1 te vervangen door console.