只要可以,所有 VMware 應用裝置都有已強化的預設組態。使用者可以透過在組態檔的全域選項區段中檢查伺服器與用戶端服務設定,來確認其組態是否經過適當強化。

執行這項作業的原因和時機

如果可以,請在 /etc/hosts.allow 檔案中限制 SSH 伺服器僅能用於管理子網路。

程序

  1. VMware 應用裝置上開啟 /etc/ssh/sshd_config 伺服器組態檔,並確認其中設定均正確無誤。

    設定

    狀態

    伺服器精靈通訊協定

    Protocol 2

    CBC 加密

    aes256-ctr 和 aes128-ctr

    TCP 轉送

    AllowTCPForwarding no

    伺服器閘道連接埠

    Gateway Ports no

    X11 轉送

    X11Forwarding no

    SSH 服務

    請使用 AllowGroups 欄位並指定允許的群組存取權。請新增適當成員至此群組。

    GSSAPI 驗證

    如果未使用,則為 GSSAPIAuthentication no

    Keberos 驗證

    如果未使用,則為 KeberosAuthentication no

    本機變數 (AcceptEnv 全域選項)

    請設定為 disabled by commenting outenabled for LC_* or LANG variables

    通道組態

    PermitTunnel no

    網路工作階段

    MaxSessions 1

    使用者並行連線

    對於根使用者與任何其他使用者,設定為 1。 /etc/security/limits.conf 檔案也需要以相同設定進行設定。

    嚴格模式檢查

    Strict Modes yes

    權限分離

    UsePrivilegeSeparation yes

    rhosts RSA 驗證

    RhostsESAAuthentication no

    壓縮

    Compression delayed 或 Compression no

    訊息驗證代碼

    MACs hmac-sha1

    使用者存取限制

    PermitUserEnvironment no

  2. 儲存變更並關閉此檔案。