您可以在系統強化的程序中,在所有 VMware 虛擬應用裝置主機機器上適當設定 tcp_wrappers 套件,來限制安全殼層 (SSH) 存取權。同時也請維護這些應用裝置上的必要 SSH 金鑰檔案權限。

執行這項作業的原因和時機

所有的 VMware 虛擬應用裝置都含有 tcp_wrappers 套件,以允許支援 tcp 的常駐程式控制能存取 libwrap 常駐程式的網路子網路。依預設,/etc/hosts.allow 檔案包含一個一般項目 (sshd: ALL : ALLOW),可允許所有人存取安全殼層。請視情況為您的組織限制此存取權。

程序

  1. 在虛擬應用裝置主機機器上,使用文字編輯器開啟 /etc/hosts.allow 檔案。
  2. 將生產環境中的一般項目變更為只包含本機主機項目和管理網路子網路,以維護作業的安全。
    sshd:127.0.0.1 : ALLOW
    sshd: [::1] : ALLOW
    sshd: 10.0.0.0 :ALLOW

    在此範例中,可以使用所有本機主機連線,以及用戶端在 10.0.0.0 子網路上建立的連線。

  3. 新增所有適當的機器識別資訊,例如主機名稱、IP 位址、完整網域名稱 (FQDN) 及回送。
  4. 儲存並關閉檔案。