Voor externe verbindingen beschikken alle geharde appliances over het Secure Shell-protocol (SHH). Gebruik SSH alleen wanneer dit nodig is, en beheer het zo dat de systeemveiligheid behouden blijft.

SSH is een interactieve omgeving met een opdrachtregel die externe verbindingen ondersteunt naar VMware virtuele toepassingen. Standaard zijn voor SSH-toegang verificatiegegevens voor high-privileged gebruikersaccounts nodig. De SSH-activiteiten van de hoofdgebruiker slaan de op rollen gebaseerde toegangscontrole (RBAC) en auditcontrole van de virtuele toepassingen meestal over.

Schakel als best practice SSH uit in een productie-omgeving, en activeer het alleen om problemen op te lossen die u niet op andere wijze kunt oplossen. Laat het alleen ingeschakeld indien nodig voor een specifiek doel en in overeenstemming met de veiligheidsregels van uw organisatie. SSH wordt standaard uitgeschakeld op de vRealize Automation-toepassing. Afhankelijk van uw configuratie van vSphere, kan het zijn dat u SSH kan in- of uitschakelen als u gebruik maakt van uw Open Virtualization Format-sjabloon (OVF).

Voor een eenvoudige test om te controleren of SSH is ingeschakeld op een machine, kunt u een verbinding proberen te openen met behulp van SSH. Als de verbinding geopend wordt en er om verificatiegegevens gevraagd wordt, is SSH ingeschakeld en beschikbaar voor verbindingen.

Hoofdgebruikersaccount Secure Shell

Omdat VMware toepassingen niet beschikken over vooraf geconfigureerde gebruikersaccounts, kan het hoofdaccount SSH gebruiken om direct standaard aan te melden. Schakel SSH zo snel mogelijk met het hoofdaccount uit.

Om de standaard voor onverwerpelijkheid na te leven, is de SSH-server op alle geharde toepassingen geconfigureerd met de AllowGroups-wielinvoer voor het beperken van SSH-toegang tot het secundaire groepswiel. Voor scheiding van verplichtingen kunt u de AllowGroups-wielinvoer in het bestand /etc/ssh/ssdh_config aanpassen naar het gebruik van een andere groep, zoals sshd.

De wielgroep heeft de module pam_wheel voor superuser-toegang ingeschakeld, zodat leden van de wielgroep su-root kunnen uitvoeren waar het hoofdwachtwoord benodigd is. Door groepscheiding kunnen gebruikers SSH gebruiken om de toepassing te openen, maar geen su naar de root uitvoeren. Verwijder of verander geen andere invoer in het veld AllowGroups, dat zorgt voor de juiste functionaliteit van de toepassing. Als u een verandering hebt uitgevoerd, moet u de SSH daemon opnieuw starten door de volgende opdracht uit te voeren: # service sshd restart.