針對遠端連線,所有強化的應用裝置都會包含安全殼層 (SSH) 通訊協定。依預設,強化應用裝置上會停用 SSH。
SSH 是互動式的命令列環境,支援遠端連線至 VMware Aria Operations 節點。SSH 要求使用高權限的使用者帳戶認證。SSH 活動通常會略過角色型存取控制 (RBAC),並且稽核 VMware Aria Operations 節點的控制。
最佳做法是在生產環境中停用 SSH,只在診斷或疑難排解無法以其他方式解決的問題時才啟用。除非出於某個特定目的,以及配合組織的安全性原則,否則不要保持在啟用狀態。如果要啟用 SSH,請確保防護完善不會受到攻擊,而且僅在必要時啟用。您可以根據您的 vSphere 組態,在部署開放式虛擬化格式 (OVF) 範本時,啟用或停用 SSH。
若要判斷機器上的 SSH 是否啟用,最簡單的測試方法是使用 SSH 來開啟連線。如果連線開啟並要求認證,表示 SSH 已啟用且可用於連線。
安全殼層根使用者
由於 VMware 應用裝置不含預先設定的預設使用者帳戶,因此依預設,根帳戶可以使用 SSH 直接登入。盡快以 root 使用者身分停用 SSH。
為符合不可否認性的合規性標準,所有強化應用裝置上的 SSH 伺服器都預先設定了 AllowGroups wheel
項目,以限制對次要群組 wheel 的 SSH 存取權。為了實現職責分離,您可以修改 /etc/ssh/sshd_config 檔案中的 AllowGroups wheel
項目以使用其他群組 (例如 sshd)。
wheel 群組是以 pam_wheel
模組啟用,目的是取得 superuser 存取權,好讓 wheel 群組的成員能使用 su-root 命令 (使用此命令必須具備 root 密碼)。群組區分可讓使用者使用 SSH 存取用應用裝置,但無法使用 su 命令以 root 使用者身分登入。請不要移除或修改 AllowGroups 欄位中的其他項目,以確保應用裝置正常運作。變更後,請執行 # service sshd restart
命令,重新啟動 SSH 常駐程式。