Для удаленных соединений все устройства с усиленной защитой включают протокол безопасной оболочки (SSH). Используйте протокол SSH при необходимости и управляйте им надлежащим образом, чтобы сохранить безопасность системы.

SSH — это интерактивная среда командной строки, которая поддерживает удаленные подключения к виртуальным устройствам VMware. По умолчанию для доступа к SSH требуются учетные данные учетной записи пользователя с высоким уровнем привилегий. Действия пользователя root с SSH обычно обходят контроль доступа на основе ролей (RBAC) и элементы управления аудитом виртуальных устройств.

Рекомендуется отключить SSH в производственной среде и активировать этот протокол только для устранения проблем, которые не удается решить другими средствами. Оставляйте его включенным, только если он требуется для конкретной цели, и делайте это в соответствии с политиками безопасности своей организации. По умолчанию протокол SSH отключен на устройстве Устройство vRealize Automation. В зависимости от конфигурации vSphere можно включить или отключить протокол SSH при развертывании шаблона Open Virtualization Format (OVF).

В качестве простого теста для определения того, включен ли протокол SSH на компьютере, попытайтесь открыть подключение с помощью SSH. Если подключение открывается и запрашивает учетные данные, протокол SSH включен и доступен для подключений.

Учетная запись пользователя root SSH

Устройства VMware не включают предварительно настроенные учетные записи пользователей, поэтому учетная запись пользователя root может по умолчанию использовать протокол SSH, чтобы входить напрямую. Войдите как пользователь root и отключите протокол SSH как можно скорее.

Чтобы выполнять требования нормативно-правовых стандартов в отношении невозможности отказа, на всех защищенных устройствах сервер SSH предварительно настроен с помощью записи wheel AllowGroups на то, чтобы доступ к SSH могла получать только вспомогательная группа wheel. С целью разделения обязанностей можно изменить запись wheel AllowGroups в файле /etc/ssh/sshd_config для использования другой группы, например sshd.

Группа wheel может использовать модуль pam_wheel для суперпользовательского доступа, поэтому ее члены могут выполнять функции пользователя root, для которых требуется его пароль. Разделение групп дает возможность пользователям использовать SSH для подключения к устройству, но не выполнять функции пользователя root. Не удаляйте и не изменяйте другие записи в поле AllowGroups, которое обеспечивает правильную работу устройства. После внесения изменения необходимо перезагрузить управляющую программу SSH, выполнив команду: # service sshd restart.