針對遠端連線,所有強化的應用裝置都會包含安全殼層 (SSH) 通訊協定。依預設,強化應用裝置上會停用 SSH。
SSH 是互動式的命令列環境,支援遠端連線至 vRealize Operations 節點。SSH 要求使用高權限的使用者帳戶認證。SSH 活動通常會略過角色型存取控制 (RBAC),並且稽核 vRealize Operations 節點的控制。
最佳做法是在生產環境中停用 SSH,只在診斷或疑難排解無法以其他方式解決的問題時才啟用。除非出於某個特定目的,以及配合組織的安全性原則,否則不要保持在啟用狀態。如果要啟用 SSH,請確保防護完善不會受到攻擊,而且僅在必要時啟用。您可以根據您的 vSphere 組態,在部署開放虛擬化格式 (OVF) 範本時,啟用或停用 SSH。
若要判斷機器上的 SSH 是否啟用,最簡單的測試方法是使用 SSH 來開啟連線。如果連線開啟並要求認證,表示 SSH 已啟用且可用於連線。
安全殼層根使用者
由於 VMware 應用裝置不含預先設定的預設使用者帳戶,因此依預設,根帳戶可以使用 SSH 直接登入。請以根使用者的身分立即停用 SSH。
為滿足符合性標準以確立不可否認性,所有強化應用裝置上的 SSH 伺服器都會預先設定 AllowGroups wheel 項目,限制 SSH 存取權僅授於次要群組 wheel。若要區分責任,您可以修改 /etc/ssh/sshd_config 檔案中的 AllowGroups wheel 項目,改用另一個群組 (例如 sshd)。
wheel 群組是以 pam_wheel 模組啟用,目的是取得 superuser 存取權,好讓 wheel 群組的成員能使用 su-root 命令 (使用此命令必須具備根密碼)。群組區分可讓使用者使用 SSH 存取用應用裝置,但無法使用 su 命令以根使用者的身分登入。請不要移除或修改 AllowGroups 欄位中的其他項目,以確保應用裝置正常運作。變更後,請執行 # service sshd restart 命令,重新啟動 SSH 常駐程式。
