How it Works
VMWARE
Loading...
V
Loading...
Loading...
vRealize Operations Manager - 6.2
User Manual [fr]
66 pgs891.95 Kb0
Table of contents
Loading...

VMWARE vRealize Operations Manager - 6.2 User Manual [fr]

Configuration sécurisée
vRealize Operations Manager 6.2
Ce document prend en charge la version de chacun des produits répertoriés, ainsi que toutes les versions publiées par la suite jusqu'au remplacement dudit document par une nouvelle édition. Pour rechercher des éditions plus récentes de ce document, rendez-vous sur :
http://www.vmware.com/fr/support/pubs.
Configuration sécurisée
Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :
http://www.vmware.com/fr/support/
Le site Web de VMware propose également les dernières mises à jour des produits.
N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :
docfeedback@vmware.com
Copyright © 2016 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques.
VMware, Inc.
3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com
2 VMware, Inc.
VMware, Inc.
100-101 Quartier Boieldieu 92042 Paris La Défense France www.vmware.com/fr

Table des matières

Configuration sécurisée 5
Position en matière de sécurité de vRealize Operations Manager 7
1
vRealize Hardening Tool 9
2
Installer Ansible 9 Configurer vRealize Hardening Tool 9 Exécuter vRealize Hardening Tool à partir de l'interface utilisateur 10 Exécuter vRealize Hardening Tool à partir de la ligne de commande 10 Catégories vRealize Hardening Tool 11
Déploiement sécurisé de vRealize Operations Manager 13
3
Vérifier l'intégrité des supports d'installation 13 Sécurisation renforcée de l'infrastructure logicielle déployée 13 Passage en revue des logiciels installés et non pris en charge 14 Avis de sécurité et correctifs VMware 15
Configuration sécurisée de vRealize Operations Manager 17
4
Sécuriser la console vRealize Operations Manager 18 Modifier le mot de passe racine 18 Gestion de Secure Shell, des comptes administratifs et de l'accès à la console 19 Définir l'authentification du chargeur d'amorçage 24 Authentification en mode utilisateur unique ou en mode de maintenance 24 Surveiller le minimum de comptes d'utilisateur nécessaires 24 Surveiller le minimum de groupes nécessaires 25 Réinitialisation du mot de passe d'administrateur vRealize Operations Manager (Linux) 26 Configurer NTP sur des dispositifs VMware 26 Désactiver la réponse d'horodatage TCP sur Linux 27 SSL et TLS 27 Ressources d'application qui doivent être protégées 28 Configurer l'authentification client PostgreSQL 31 Désactiver la navigation dans les répertoires Web 31 Désactiver les modes de configuration 31 Gestion des composants logiciels non essentiels 31 Déploiement installé sur Windows 35 Déploiement installé sur Linux 37 Agent Endpoint Operations Management 39 Activités de configuration sécurisée supplémentaire 45
VMware, Inc.
Divulgation d'informations 47
5
Créer l'en-tête de réponse du serveur Apache et omettre les informations de version 47
3
Configuration sécurisée
Sécurité du réseau et communications sécurisées 49
6
Configuration des paramètres réseau pour l'installation de l'application virtuelle 49 Configuration des ports et des protocoles 58
Audit et journalisation de votre système vRealize Operations Manager 61
7
Sécurisation du serveur de journalisation distant 61 Utiliser un serveur NTP autorisé 61 Considérations relatives au navigateur client 62
Index 63
4 VMware, Inc.

Configuration sécurisée

La documentation relative à la Configuration sécurisée est destinée à servir de ligne de base sécurisée pour le déploiement de vRealize Operations Manager. Consultez ce document lorsque vous utilisez des outils de surveillance du système pour vous assurer que la configuration de la ligne de base sécurisée est surveillée et maintenue en continu, en cas de modifications inattendues.
Les activités de sécurisation renforcée qui ne sont pas déjà définies par défaut peut être effectuées manuellement, ou dans certains cas, automatiquement à l'aide de vRealize Hardening Tool. Pour plus d'informations sur vRealize Hardening Tool, reportez-vous à Chapitre 2, « vRealize Hardening Tool », page 9.
Public visé
Ces informations sont destinées aux administrateurs de vRealize Operations Manager.
Glossaire VMware Technical Publications
VMware Technical Publications fournit un glossaire des termes qui peuvent éventuellement ne pas vous être familiers. Pour consulter la définition des termes utilisés dans la documentation technique VMware, visitez le site Web http://www.vmware.com/support/pubs.
VMware, Inc.
5
Configuration sécurisée
6 VMware, Inc.
Position en matière de sécurité de
vRealize Operations Manager 1
La position en matière de sécurité de vRealize Operations Manager suppose un environnement entièrement sécurisé basé sur une configuration système et réseau, des stratégies de sécurité à l'échelle de l'entreprise et des meilleures pratiques. Il est important que vous effectuiez les activités de sécurisation renforcée conformément aux stratégies de sécurité et aux meilleures pratiques de votre entreprise.
Le document se divise en plusieurs sections :
Déploiement sécurisé
n
Configuration sécurisée
n
Sécurité réseau
n
Communication
n
Le guide décrit l'installation de l'application virtuelle. Toutefois, les types de déploiements suivants sont également abordés :
« Déploiement installé sur Linux », page 37
n
« Déploiement installé sur Windows », page 35
n
Pour vous assurer que votre système est correctement sécurisé, passez en revue les recommandations et évaluez-les par rapport aux stratégies de sécurité de votre entreprise et l'exposition aux risques.
VMware, Inc.
7
Configuration sécurisée
8 VMware, Inc.

vRealize Hardening Tool 2

Vous pouvez utiliser vRealize Hardening Tool pour vous assurer d'atteindre et de maintenir la ligne de base sécurisée. Étant donné que bon nombre des exigences de sécurisation renforcée qui sont fixées par vRealize Hardening Tool sont déjà dans leur état sécurisé par défaut, vous pouvez utiliser l'outil de sécurisation renforcée pour ramener l'installation à son état sécurisé par défaut si des modifications sont apportées.
vRealize Hardening Tool est disponible sur la page de téléchargement de VMware vRealize Operations
Manager.
Ce chapitre aborde les rubriques suivantes :
« Installer Ansible », page 9
n
« Configurer vRealize Hardening Tool », page 9
n
« Exécuter vRealize Hardening Tool à partir de l'interface utilisateur », page 10
n
« Exécuter vRealize Hardening Tool à partir de la ligne de commande », page 10
n
« Catégories vRealize Hardening Tool », page 11
n

Installer Ansible

vRealize Hardening Tool repose sur Ansible, une plate-forme logicielle open source pour la configuration et la gestion des ordinateurs. Pour pouvoir utiliser vRealize Hardening Tool, vous devez installer le logiciel Ansible.
Procédure
1 Pour installer le logiciel Ansible, téléchargez-le et suivez les instructions disponibles sur le site Web
d'Ansible à l'adresse suivante : http://docs.ansible.com/intro_installation.html.
2 Vérifiez l'installation d'Ansible.
a Exécutez la commande ansible --version.
b Si des erreurs se produisent, consultez le fichier vrhtool/Readme.txt. Il contient des instructions
sur l'installation des modules manquants nécessaires pour exécuter Ansible.

Configurer vRealize Hardening Tool

Vous pouvez configurer vRealize Hardening Tool et modifier la liste des nœuds vRealize Operations Manager auxquels les modifications de configuration seront apportées.
Procédure
1 Exécutez la commande tar -zxvf vrhtool.tar.gz pour installer l'outil de sécurisation renforcée.
VMware, Inc.
9
Configuration sécurisée
2 Modifiez la liste des nœuds vRealize Operations Manager auxquels les modifications de configuration
seront apportées.
La liste se trouve dans le fichier inventory.yaml situé dans vrhtool/baseline/.
a Remplacez abc1.xyxz.com par le nom de domaine complet (FQDN) de votre nœud
vRealize Operations Manager.
b Le fait de remplacer le nom d'utilisateur et le mot de passe par les informations d'identification SSH
permet à vRealize Hardening Tool de modifier l'appliance vRealize Operations Manager.
Vous pouvez inclure plusieurs appliances vRealize Operations Manager.

Exécuter vRealize Hardening Tool à partir de l'interface utilisateur

Vous pouvez exécuter vRealize Hardening Tool à partir de l'interface utilisateur plutôt qu'à partir de la ligne de commande pour effectuer certaines activités de sécurisation renforcée.
Procédure
1 Accédez au répertoire où se trouve l'outil.
cd vrhtool
2 Exécutez la commande python script/vRHT.py.
L'interface utilisateur de vRealize Hardening Tool s'affiche.
3 Dans Catégories, sélectionnez les activités de sécurisation renforcée à exécuter.
4 Sélectionnez Essai, puis cliquez sur Exécuter pour vérifier les modifications avant qu'elles ne soient
apportées au système.
5 Cliquez sur Exécuter pour exécuter vRealize Hardening Tool en fonction des sélections que vous avez
effectuées.

Exécuter vRealize Hardening Tool à partir de la ligne de commande

Vous pouvez exécuter les commandes suivantes à partir de l'interface de ligne de commande pour utiliser vRealize Hardening Tool.
Procédure
1 Accédez au répertoire où se trouve vRealize Hardening Tool.
cd vrhtool
2 Vérifiez que vRealize Hardening Tool a été installé sans apporter de modifications.
ansible-playbook -i baseline/inventory.yaml baseline/vROps.yaml --check
Aucune modification n'a été apportée au système.
3 Exécutez vRealize Hardening Tool et apportez des modifications au système.
ansible-playbook -i baseline/inventory.yaml baseline/vROps.yaml --tags web,ssh,pwd_expiry,network_cfg,softwarecomponents,postgres,create_admin_user,tcptimestamp,sin gleuserauth,ntp,apache2
Chaque balise séparée par des virgules est associée à une activité de sécurisation renforcée prise en charge par vRealize Hardening Tool. Si vous ne voulez pas exécuter une activité de sécurisation renforcée, vous pouvez l'omettre de la commande.
10 VMware, Inc.

Catégories vRealize Hardening Tool

Le tableau suivant établit une corrélation entre l'activité de sécurisation et les options d'interface utilisateur et de ligne de commande. Vous pouvez utiliser plusieurs options d'interface utilisateur et de ligne de commande pour vos activités de sécurisation renforcée.
Tableau 21. Catégories vRealize Hardening Tool
Option d'interface
Activité de sécurisation
En-tête de réponse du serveur Apache Configuration d'Apache2
Configurer NTP Network Time Protocol
Authentification en mode utilisateur unique ou en mode de maintenance
Réponse d'horodatage TCP Paramètres
Créer un compte administratif local pour SSH
PostgreSQL (configuration de l'authentification client)
Composants logiciels non requis Composants logiciels
Paramètres réseau pour l'installation de l'application virtuelle (OVF)
Modifier le délai d'expiration du mot de passe
Maintenir les autorisations de fichier clé SSH Secure Shell
Sécuriser la configuration du serveur SSH Secure Shell
Durcir la configuration du client SSH Secure Shell
Désactiver la navigation dans les répertoires Web
utilisateur Balise de ligne de commande
Authentification en mode utilisateur unique
d'horodatage TCP
Utilisateur admin Linux
Paramètres de PostgreSQL
Paramètres réseau
Expiration du mot de passe racine
Paramètres des répertoires Web
Chapitre 2 vRealize Hardening Tool
apache2
ntp
singleuserauth
tcptimestamp
create_admin_user
postgres
softwarecomponents
network_cfg
pwd_expiry
ssh
ssh
ssh
web
VMware, Inc. 11
Configuration sécurisée
12 VMware, Inc.
Déploiement sécurisé de
vRealize Operations Manager 3
Vous devez vérifier l'intégrité du support d'installation avant d'installer le produit afin de vous assurer de l'authenticité des fichiers téléchargés.
Ce chapitre aborde les rubriques suivantes :
« Vérifier l'intégrité des supports d'installation », page 13
n
« Sécurisation renforcée de l'infrastructure logicielle déployée », page 13
n
« Passage en revue des logiciels installés et non pris en charge », page 14
n
« Avis de sécurité et correctifs VMware », page 15
n

Vérifier l'intégrité des supports d'installation

Après avoir téléchargé le support, utilisez la valeur de somme MD5/SHA1 pour vérifier l'intégrité du téléchargement. Vérifiez toujours le hachage SHA1 après avoir téléchargé une image ISO, un bundle hors ligne ou un correctif afin de vous assurer de l'intégrité et de l'authenticité des fichiers téléchargés. Si vous obtenez un support physique de VMware et que le sceau de sécurité est brisé, retournez le logiciel à VMware pour l'échanger.
Procédure
Comparez la sortie de hachage MD5/SHA1 avec la valeur affichée sur le site Web de VMware.
u
Le hachage SHA1 ou MD5 doit correspondre.
REMARQUE Les fichiers vRealize Operations Manager6.1-x.pak sont signés par le certificat d'édition de logiciels VMware. vRealize Operations Manager valide la signature du fichier PAK avant l'installation.

Sécurisation renforcée de l'infrastructure logicielle déployée

Dans le cadre du processus de sécurisation renforcée, vous devez renforcer la sécurité de l'infrastructure logicielle déployée prenant en charge votre système VMware.
Avant de renforcer la sécurité de votre système VMware, examinez et corrigez les défaillances de sécurité de l'infrastructure logicielle de support afin de créer un environnement totalement sécurisé. Les composants du système d'exploitation, les logiciels de prise en charge et les logiciels de base de données font partie des éléments de l'infrastructure logicielle à prendre en compte. Réglez les questions de sécurité de ces composants et d'autres composants en suivant les recommandations du fabricant ainsi que les protocoles de sécurité pertinents.
VMware, Inc.
13
Configuration sécurisée

Sécurisation renforcée de l'environnement VMware vSphere

vRealize Operations Manager s'appuie sur un environnement VMware vSphere sécurisé pour offrir des performances optimales et une infrastructure sécurisée.
Évaluez l'environnement VMware vSphere et vérifiez que le niveau approprié de sécurisation renforcée de vSphere est appliqué et maintenu.
Pour plus de recommandations sur la sécurisation renforcée, consultez l'adresse suivante :
http://www.vmware.com/security/hardening-guides.html.
Sécurisation renforcée pour l'installation de Linux
Consultez les recommandations qui figurent dans les meilleures pratiques de sécurisation renforcée de Linux et assurez-vous de sécuriser suffisamment vos hôtes Linux. Si vous ne respectez pas les consignes de sécurisation renforcée, il se peut que le système s'expose à des défaillances de sécurité connues, à cause de composants non sécurisés dans les différentes versions de Linux.
vRealize Operations Manager est pris en charge pour une installation sur Red Hat Enterprise Linux (RHEL) 6, à partir de la version 6.5.
Sécurisation renforcée pour l'installation de Windows
Consultez les recommandations qui figurent dans les meilleures pratiques de sécurisation renforcée de Windows et assurez-vous de sécuriser suffisamment votre hôte Windows Server. Si vous ne respectez pas les recommandations de sécurisation renforcée, il se peut que le système s'expose à des défaillances de sécurité connues, à cause de composants non sécurisés dans les différentes versions de Windows.
Contactez votre fournisseur Microsoft afin de renforcer la sécurisation de vos produits Microsoft.

Passage en revue des logiciels installés et non pris en charge

Des défaillances de sécurité dans les logiciels inutilisés peuvent augmenter le risque d'accès non autorisé au système et de perturbation de la disponibilité. Passez en revue les logiciels installés sur les machines hôtes VMware et évaluez leur utilisation.
N'installez pas de logiciels qui ne sont pas nécessaires au fonctionnement sécurisé du système sur aucun des hôtes du nœud vRealize Operations Manager. Désinstallez les logiciels inutilisés ou non essentiels.
L'installation de logiciels non pris en charge, non testés ou non approuvés sur des produits d'infrastructure tels que vRealize Operations Manager constitue une menace pour l'infrastructure.
Afin de minimiser la menace pour l'infrastructure, n'installez pas et n'utilisez pas de logiciels tiers qui ne sont pas pris en charge par VMware sur les hôtes VMware fournis.
Évaluez votre déploiement vRealize Operations Manager et votre inventaire des produits installés pour vérifier qu'aucun logiciel non pris en charge n'est installé.
Pour plus d'informations sur les stratégies de prise en charge des produits tiers, consultez le support VMware à l'adresse https://www.vmware.com/support/policies/thirdparty.html.
14 VMware, Inc.

Vérifier les logiciels tiers

N'utilisez pas de logiciels tiers que VMware ne prend pas en charge. Vérifiez que tous les logiciels tiers sont configurés de manière sécurisée et que vous avez appliqué les correctifs nécessaires, conformément aux directives du fournisseur tiers.
Les défaillances de sécurité dues à des logiciels tiers non authentiques, non sécurisés ou non corrigés installés sur les machines hôtes VMware peuvent exposer le système à des risques d'accès non autorisé et de perturbation de la disponibilité. Tous les logiciels que VMware ne fournit pas doivent être sécurisés et corrigés de manière adaptée.
Si vous devez utiliser un logiciel tiers que VMware ne prend pas en charge, contactez le fournisseur tiers pour en savoir plus sur les exigences en matière de configuration sécurisée et d'application de correctifs.

Avis de sécurité et correctifs VMware

VMware publie parfois des avis de sécurité pour ses produits. En vous tenant informé de ces avis de sécurité, vous vous assurez que vous vous bénéficiez du produit sous-jacent le plus sûr et que le produit n'est pas vulnérable aux menaces connues.
Évaluez l'installation, l'application de correctifs et l'historique des mises à niveau de vRealize Operations Manager et vérifiez que vous respectez et appliquez les avis de sécurité VMware.
Chapitre 3 Déploiement sécurisé de vRealize Operations Manager
Il est recommandé de toujours utiliser la version la plus récente de vRealize Operations Manager, car c'est celle qui comprendra les correctifs de sécurité les plus récents.
Pour plus d'informations sur les avis de sécurité VMware actuels, rendez-vous sur http://www.vmware.com/fr/security/advisories/.
VMware, Inc. 15
Configuration sécurisée
16 VMware, Inc.
Configuration sécurisée de
vRealize Operations Manager 4
En matière de sécurité, la meilleure pratique consiste à sécuriser la console vRealize Operations Manager et à gérer les protocoles Secure Shell (SSH), les comptes administratifs et l'accès à la console. Assurez-vous que votre système est déployé avec des canaux de transmission sécurisés.
Vous devez également suivre certaines meilleures pratiques de sécurité pour exécuter les agents Endpoint Operations Management.
Ce chapitre aborde les rubriques suivantes :
« Sécuriser la console vRealize Operations Manager », page 18
n
« Modifier le mot de passe racine », page 18
n
« Gestion de Secure Shell, des comptes administratifs et de l'accès à la console », page 19
n
« Définir l'authentification du chargeur d'amorçage », page 24
n
« Authentification en mode utilisateur unique ou en mode de maintenance », page 24
n
« Surveiller le minimum de comptes d'utilisateur nécessaires », page 24
n
« Surveiller le minimum de groupes nécessaires », page 25
n
« Réinitialisation du mot de passe d'administrateur vRealize Operations Manager (Linux) », page 26
n
« Configurer NTP sur des dispositifs VMware », page 26
n
« Désactiver la réponse d'horodatage TCP sur Linux », page 27
n
« SSL et TLS », page 27
n
« Ressources d'application qui doivent être protégées », page 28
n
« Configurer l'authentification client PostgreSQL », page 31
n
« Désactiver la navigation dans les répertoires Web », page 31
n
« Désactiver les modes de configuration », page 31
n
« Gestion des composants logiciels non essentiels », page 31
n
« Déploiement installé sur Windows », page 35
n
« Déploiement installé sur Linux », page 37
n
« Agent Endpoint Operations Management », page 39
n
« Activités de configuration sécurisée supplémentaire », page 45
n
VMware, Inc.
17
Configuration sécurisée

Sécuriser la console vRealize Operations Manager

Après avoir installé vRealize Operations Manager, vous devez vous connecter pour la première fois et sécuriser la console de chaque nœud du cluster.
Prérequis
Installez vRealize Operations Manager.
Procédure
1 Localisez la console de nœud dans vCenter ou à l'aide d'un accès direct.
Dans vCenter, appuyez sur Alt+F1 pour accéder à l'invite de connexion. Pour des raisons de sécurité, les sessions de terminaux à distance vRealize Operations Manager sont désactivées par défaut.
2 Connectez-vous en tant qu'utilisateur racine.
vRealize Operations Manager ne vous permet pas d'accéder à l'invite de commande tant que vous n'avez pas créé de mot de passe racine.
3 Lorsque vous êtes invité à saisir un mot de passe, appuyez sur Entrée.
4 Lorsque vous êtes invité à saisir votre ancien mot de passe, appuyez sur Entrée.
5 Lorsque vous êtes invité à saisir le nouveau mot de passe, entrez le mot de passe racine que vous
voulez et notez-le pour référence ultérieure.
6 Réinitialisez le mot de passe racine.
7 Déconnectez-vous de la console.

Modifier le mot de passe racine

Vous pouvez modifier le mot de passe racine pour tout nœud maître ou de données vRealize Operations Manager à tout moment en utilisant la console.
L'utilisateur racine contourne la vérification de la complexité des mots de passe du module pam_cracklib, qui se trouve dans le fichier etc/pam.d/common-password. Toutes les appliances sécurisées activent
enforce_for_root pour le module pw_history, qui se trouve dans le fichier etc/pam.d/common-password. Par
défaut, le système mémorise les cinq derniers mots de passe. Les anciens mots de passe sont stockés pour chaque utilisateur dans le fichier /etc/security/opasswd.
Prérequis
Vérifiez que le mot de passe racine de l'appliance répond aux exigences de complexité des mots de passe de votre entreprise. Si le mot de passe du compte commence par $6$, il utilise un hachage sha512. Il s'agit du hachage standard pour toutes les appliances sécurisées.
Procédure
1 Exécutez la commande # passwd sur le shell racine de l'appliance.
2 Pour vérifier le hachage du mot de passe de racine, connectez-vous en tant qu'utilisateur racine et
exécutez la commande # more /etc/shadow.
Les informations de hachage s'affichent.
3 Si le mot de passe racine ne contient pas de hachage sha512, exécutez la commande passwd afin de le
modifier.
18 VMware, Inc.
Chapitre 4 Configuration sécurisée de vRealize Operations Manager

Gérer l'expiration des mots de passe

Configurez toutes les expirations de mots de passe conformément aux stratégies de sécurité de votre entreprise.
Par défaut, toutes les appliances VMware sécurisées utilisent un délai d'expiration des mots de passe de 60 jours. Sur la plupart des appliances sécurisées, le délai d'expiration des mots de passe du compte racine est défini sur 365 jours. La meilleure pratique consiste à vérifier que le délai d'expiration sur tous les comptes répond aux exigences de sécurité et de fonctionnement.
Si le mot de passe racine expire, vous ne pouvez pas le rétablir. Vous devez mettre en œuvre des stratégies propres au site pour éviter l'expiration des mots de passe administratifs et racine.
Procédure
1 Connectez-vous à vos appliances virtuelles en tant qu'utilisateur racine et exécutez la commande #
more /etc/shadow pour vérifier le délai d'expiration des mots de passe sur tous les comptes.
2 Pour modifier la date d'expiration du compte racine, exécutez la commande # passwd -x 365 root.
Dans cette commande, 365 indique le nombre de jours jusqu'à l'expiration du mot de passe. Utilisez la même commande pour modifier n'importe quel utilisateur, en remplaçant le compte spécifique par root et en remplaçant le nombre de jours pour répondre aux normes d'expiration de l'entreprise.
Par défaut, le mot de passe racine est défini sur 365 jours. Vous pouvez utiliser l'option Expiration du mot de passe racine dans vRealize Hardening Tool pour définir le mot de passe racine sur la ligne de base sécurisée par défaut de 365 jours.

Gestion de Secure Shell, des comptes administratifs et de l'accès à la console

Pour les connexions à distance, toutes les appliances sécurisées comprennent le protocole Secure Shell (SSH). SSH est désactivé par défaut sur l'appliance sécurisée.
SSH est un environnement de ligne de commande interactif qui prend en charge les connexions à distance vers un nœud vRealize Operations Manager. SSH nécessite des informations d'identification de compte d'utilisateur hautement privilégié. Les activités SSH contournent généralement le contrôle d'accès basé sur les rôles et les contrôles d'audit du nœud vRealize Operations Manager.
La meilleure pratique consiste à désactiver SSH dans l'environnement de production et de l'activer uniquement pour diagnostiquer ou résoudre les problèmes que vous ne pouvez pas résoudre par d'autres moyens. Laissez cette option activée uniquement lorsque vous en avez besoin dans un but précis et conformément aux stratégies de sécurité de votre entreprise. Si vous activez SSH, assurez-vous qu'il est protégé contre les attaques et que vous ne l'activez qu'aussi longtemps que nécessaire. Selon votre configuration vSphere, vous pouvez activer ou désactiver SSH lorsque vous déployez votre modèle Open Virtualization Format (OVF).
Pour déterminer si SSH est activé sur une machine, il suffit d'essayer d'ouvrir une connexion à l'aide de SSH. Si la connexion s'ouvre et demande les informations d'identification, SSH est activé et est disponible pour établir des connexions.
Utilisateur racine Secure Shell
Étant donné que les appliances VMware n'incluent pas de comptes d'utilisateur préconfigurés par défaut, le compte racine peut utiliser SSH pour se connecter directement par défaut. Désactivez SSH en tant que racine dès que possible.
VMware, Inc. 19
Configuration sécurisée
Pour répondre aux normes de conformité en matière de non-répudiation, le serveur SSH sur toutes les appliances sécurisées est préconfiguré avec l'entrée wheel AllowGroups pour restreindre l'accès SSH au groupe wheel secondaire. Pour séparer les tâches, vous pouvez modifier l'entrée wheel AllowGroups dans le fichier /etc/ssh/sshd_config pour utiliser un autre groupe tel que sshd.
Le groupe wheel est activé avec le module pam_wheel pour l'accès super-utilisateur, de sorte que les membres du groupe wheel peuvent utiliser la commande su-root, qui nécessite le mot de passe racine. La séparation du groupe permet aux utilisateurs d'utiliser SSH sur l'appliance, mais pas d'utiliser la commande su pour se connecter en tant qu'utilisateur racine. Évitez de supprimer ou de modifier d'autres entrées dans le champ AllowGroups, de manière à garantir le bon fonctionnement de l'appliance. Après avoir effectué une modification, redémarrez le démon SSH en exécutant la commande # service sshd restart.

Activer ou désactiver Secure Shell sur un nœud vRealize Operations Manager

Vous pouvez activer Secure Shell (SSH) sur un nœud vRealize Operations Manager à des fins de dépannage. Par exemple, pour dépanner un serveur, vous pouvez avoir besoin d'y accéder en mode console. Cela est possible via SSH. Désactivez SSH sur un nœud vRealize Operations Manager en mode de fonctionnement normal.
Procédure
1 Accédez à la console du nœud vRealize Operations Manager à partir de vCenter.
2 Appuyez sur Alt+F1 pour accéder à l'invite de connexion, puis connectez-vous.
3 Exécutez la commande #chkconfig.
4 Si le service SSHD est désactivé, exécutez la commande #chkconfig sshd on.
5 Exécutez la commande #service sshd start pour démarrer le service SSHD.
6 Exécutez la commande #service sshd stop pour arrêter le service SSHD.

Créer un compte administratif local pour Secure Shell

Vous devez créer des comptes administratifs locaux pouvant être utilisés en tant que Secure Shell (SSH) et faisant partie du groupe wheel secondaire, avant de supprimer l'accès SSH racine.
Avant de désactiver l'accès racine direct, vérifiez que les administrateurs autorisés ont accès à SSH à l'aide d'AllowGroups et qu'ils peuvent utiliser le groupe wheel et la commande su pour se connecter en tant qu'utilisateur racine.
vRealize Hardening Tool prend en charge la création de l'utilisateur à l'aide de l'option Utilisateur Admin Linux. Vous devez définir le mot de passe manuellement.
Procédure
1 Connectez-vous en tant qu'utilisateur racine et exécutez les commandes suivantes.
# useradd -d /home/vcacuser -g users -G wheel –m
# passwd username
Le groupe wheel est spécifié dans AllowGroups pour l'accès SSH. Pour ajouter plusieurs groupes secondaires, utilisez -G wheel,sshd.
2 Passez en mode utilisateur et fournissez un nouveau mot de passe qui réponde aux critères de
complexité des mots de passe.
# su – username username@hostname:~>passwd
Si tel est le cas, le mot de passe est mis à jour. Dans le cas contraire, le mot de passe initial est rétabli et vous devez exécuter à nouveau la commande password.
20 VMware, Inc.
Loading...
+ 46 hidden pages
Buy Points How it Works FAQ Contact Us Questions and Suggestions Privacy Policy Cookie Policy Terms of Use