對於遠端連線,所有強化的應用裝置包含安全殼層 (SSH) 通訊協定。僅在必要時使用 SSH,並且適當地管理 SSH 以維持系統安全性。

SSH 是支援遠端連線至 VMware 虛擬應用裝置的互動式命令列環境。依預設,SSH 存取需要高權限使用者帳戶認證。根使用者 SSH 活動通常會略過角色型存取控制 (RBAC) 並稽核虛擬應用裝置的控制。

最佳做法是在生產環境中停用 SSH,然後將其啟用,以僅疑難排解您無法透過其他方法解決的問題。僅當需要用於特定目的並依據組織的安全性原則時,將其維持在啟用狀態。vRealize Automation 應用裝置上預設會停用 SSH。視 vSphere 組態而定,當您部署開放虛擬化格式 (OVF) 範本時可能會啟用或停用 SSH。

判定機器上是否已啟用 SSH 的簡單測試是嘗試使用 SSH 開啟連線。如果連線開啟並要求認證,則 SSH 會啟用且可用於連線。

安全殼層根使用者帳戶

因為 VMware 應用裝置不包含預先設定的使用者帳戶,依預設,根帳戶可以使用 SSH 直接登入。儘快以根使用者身分停用 SSH。

為符合不可否認性的符合性標準,所有強化的應用裝置上的 SSH 伺服器都預先設定 AllowGroups wheel 項目,以限制 SSH 存取次要群組 wheel。針對職責分離,您可以修改 /etc/ssh/sshd_config 檔案中的 AllowGroups wheel 項目以使用其他群組 (如 sshd)。

針對超級使用者存取,已使用 pam_wheel 模組啟用 wheel 群組,因此 wheel 群組的成員可以將使用者切換為根使用者,其中需要根密碼。群組分離可讓使用者透過 SSH 連線至應用裝置,但是不可以將使用者切換為根使用者。請勿在 AllowGroups 欄位中移除或修改其他項目,這可確保適當的應用裝置功能。進行變更後,您必須透過執行命令 # service sshd restart 重新啟動 SSH 精靈。