在可行的情況下,虛擬應用程式安裝 (OVF) 都有預設的強化組態。使用者可以檢驗組態檔案中全域選項區段中的伺服器及用戶端服務,來確認其組態已適當強化。

執行這項作業的原因和時機

可能的話,請將 SSH 伺服器的使用限制在 /etc/hosts.allow 檔案中的管理子網路。

程序

  1. 開啟 /etc/ssh/sshd_config 伺服器組態檔案,確認設定都正確無誤。

    設定

    狀態

    伺服器常駐程式通訊協定

    Protocol 2

    加密方式

    Ciphers aes256-ctr,aes128-ctr

    TCP 轉送

    AllowTCPForwarding no

    伺服器閘道連接埠

    Gateway Ports no

    X11 轉送

    X11Forwarding no

    SSH 服務

    使用 AllowGroups 欄位,針對可使用服務的使用者,指定獲允許可存取次要群組及新增成員至其中的群組。

    GSSAPI 驗證

    GSSAPIAuthentication no (若未使用此設定)

    Kerberos 驗證

    KerberosAuthentication no (若未使用此設定)

    本機變數 (AcceptEnv 全域選項)

    設定為停用 (註解掉)啟用 (僅限 LC_* 或 LANG 變數)

    通道組態

    PermitTunnel no

    網路工作階段

    MaxSessions 1

    嚴格模式檢查

    Strict Modes yes

    權限區別

    UsePrivilegeSeparation yes

    rhosts RSA 驗證

    RhostsRSAAuthentication no

    壓縮

    Compression delayed 或 Compression no

    訊息驗證碼

    MACs hmac-sha1

    使用者存取限制

    PermitUserEnvironment no

  2. 儲存變更並關閉檔案。