安全性最佳做法是在虛擬應用裝置主機上為安全殼層 (SSH) 建立並設定本機管理帳戶。此外,在建立適當的帳戶後,移除根 SSH 存取權。

執行這項作業的原因和時機

為 SSH 或次要 wheel 群組成員 (或兩者) 建立本機管理帳戶。停用直接根存取權前,請先測試獲授權管理員能否使用 AllowGroups 存取 SSH,以及能否使用 wheel 群組將使用者切換為根使用者。

程序

  1. 透過適當的使用者名稱,以根使用者身分登入虛擬應用裝置並執行下列命令。
    # useradd -g users <username> -G wheel -m -d /home/username 
    			 # passwd username

    Wheel 是 AllowGroups 中為 SSH 存取指定的群組。若要新增多個次要群組,請使用 -G wheel,sshd

  2. 切換至使用者並提供新密碼,以強制執行密碼複雜性檢查。
    # su –username 
    	# username@hostname:~>passwd 
    				

    如果符合密碼複雜性,密碼便會更新。如果不符合密碼複雜性,密碼會還原為原始密碼,您必須重新執行密碼命令。

  3. 若要移除對 SSH 的直接登入,請修改 /etc/ssh/sshd_config 檔案,將 (#)PermitRootLogin yes 取代為 PermitRootLogin no

    或者,您也可以在虛擬應用裝置管理介面 (VAMI) 中,透過選取或取消選取管理員索引標籤上的已啟用管理員 SSH 登入核取方塊,來啟用/停用 SSH。

下一步

停用以根使用者身分直接登入。依預設,強化的應用裝置允許透過主控台直接登入至根目錄。在您建立不可否認的管理帳戶並測試其 su-root wheel 存取權後,請以根使用者身分編輯 /etc/security 檔案,將 tty1 項目取代為 console,以停用直接根登入。

  1. 在文字編輯器中開啟 /etc/securetty 檔案。

  2. 找到 tty1 並將其取代為 console

  3. 儲存並關閉檔案。