De aanbevolen beveiligingsprocedure is lokale beheerdersaccounts voor Secure Shell (SSH) te maken en te configureren op de hostmachines van uw virtual appliances. Daarnaast moet u toegang tot de SSH-hoofdmap uitschakelen nadat u de accounts hebt gemaakt.

Maak lokale beheerdersaccounts voor SSH, leden van de secundaire 'wheel-groep' of beide. Voordat u toegang tot de hoofdmap uitschakelt, moet u testen of geautoriseerde beheerders toegang hebben tot SSH met AllowGroups, en of zij su naar de root kunnen uitvoeren via de wheel-groep.

Procedure

 1. Meld u als root aan bij de virtual appliances en voer de volgende opdrachten met de bijbehorende gebruikersnaam.
  # useradd -g users <username> -G wheel -m -d /home/gebruikersnaam 
  			 # passwd username

  Wheel is de groep zoals gespecificeerd in AllowGroups voor SSH-toegang. Gebruik -G wheel,sshd om meerdere secundaire groepen toe te voegen.

 2. Schakel naar de gebruiker en geef een nieuw wachtwoord op om dit te controleren op complexiteit.
  # su –gebruikersnaam 
  	# gebruikersnaam@hostnaam:~>passwd 
  				
  Als het wachtwoord de gewenste complexiteit heeft, wordt het wachtwoord bijgewerkt. Als het wachtwoord niet de gewenste complexiteit heeft, wordt het oorspronkelijke wachtwoord teruggezet en moet u de wachtwoordopdracht opnieuw uitvoeren.

 3. Als u rechtstreeks aanmelden bij SSH wilt verwijderen, moet u het bestand /etc/ssh/sshd_config aanpassen door (#)PermitRootLogin yes te vervangen door PermitRootLogin no.
  U kunt ook SSH in de Virtual Appliance Management Interface (VAMI) inschakelen/uitschakelen door het selectievakje Bij SSH aanmelden als beheerder ingeschakeld op het tabblad Beheer in of uit te schakelen.

Volgende stappen

Schakel rechtstreeks aanmelden als root uit. De verharde toepassingen staan rechtstreeks aanmelden als root via de console standaard toe. Als u beheerdersaccounts hebt gemaakt voor niet-afwijzing en deze hebt getest op su-root wheel-toegang, schakelt u rechtstreeks aanmelden als root uit door het bestand /etc/security als root te bewerken en de tty1-invoer te vervangen met console.

 1. Open het bestand /etc/securetty in een teksteditor.
 2. Zoek tty1 en vervang dit door console.
 3. Sla het CSV-bestand op en sluit het.