針對遠端連線,所有強化的應用裝置都會包含安全殼層 (SSH) 通訊協定。依預設,強化應用裝置上會停用 SSH。
SSH 是互動式的命令列環境,支援遠端連線至 vRealize Operations 節點。SSH 要求使用高權限的使用者帳戶認證。SSH 活動通常會略過角色型存取控制 (RBAC),並且稽核 vRealize Operations 節點的控制。
最佳做法是在生產環境中停用 SSH,只在診斷或疑難排解無法以其他方式解決的問題時才啟用。除非出於某個特定目的,以及配合組織的安全性原則,否則不要保持在啟用狀態。如果要啟用 SSH,請確保防護完善不會受到攻擊,而且僅在必要時啟用。您可以根據您的 vSphere 組態,在部署開放式虛擬化格式 (OVF) 範本時,啟用或停用 SSH。
若要判斷機器上的 SSH 是否啟用,最簡單的測試方法是使用 SSH 來開啟連線。如果連線開啟並要求認證,表示 SSH 已啟用且可用於連線。
安全殼層根使用者
由於 VMware 應用裝置不含預先設定的預設使用者帳戶,因此依預設,根帳戶可以使用 SSH 直接登入。盡快以 root 使用者身分停用 SSH。
為滿足符合性標準以確立不可否認性,所有強化應用裝置上的 SSH 伺服器都會預先設定 AllowGroups wheel 項目,限制 SSH 存取權僅授於次要群組 wheel。若要區分責任,您可以修改 /etc/ssh/sshd_config 檔案中的 AllowGroups wheel 項目,改用另一個群組 (例如 sshd)。
wheel 群組是以 pam_wheel 模組啟用,目的是取得 superuser 存取權,好讓 wheel 群組的成員能使用 su-root 命令 (使用此命令必須具備 root 密碼)。群組區分可讓使用者使用 SSH 存取用應用裝置,但無法使用 su 命令以 root 使用者身分登入。請不要移除或修改 AllowGroups 欄位中的其他項目,以確保應用裝置正常運作。變更後,請執行 # service sshd restart 命令,重新啟動 SSH 常駐程式。
