做為系統強化程序的一部分,可透過正確設定所有 VMware 虛擬應用裝置主機上的 tcp_wrappers 套件來限制安全殼層 (SSH) 存取。同時維護這些應用裝置上所需的 SSH 金鑰檔案權限。

執行這項作業的原因和時機

所有 VMware 虛擬應用裝置都包含 tcp_wrappers 套件,以允許 tcp-supported 精靈控制可存取 libwrapped 精靈的網路子網路。依預設,/etc/hosts.allow 檔案包含一般項目 Sshd: ALL : ALLOW,該項目允許所有安全殼層存取。請視組織需要限制此存取。

程序

  1. 在文字編輯器中開啟虛擬應用裝置主機上的 /etc/hosts.allow 檔案。
  2. 將您生產環境中的該一般項目變更為僅包含本機主機項目和安全作業的管理網路子網路。
    sshd:127.0.0.1 : ALLOW
    sshd: [::1] : ALLOW
    sshd: 10.0.0.0 :ALLOW

    在此範例中,允許所有本機主機連線和用戶端在 10.0.0.0 子網路上建立的連線。

  3. 新增所有適當的機器識別,例如主機名稱、IP 位址、完整網域名稱 (FQDN) 和回送。
  4. 儲存並關閉檔案。