Hinzufügen des SSH-Bibliothekselements zu Ihrer Bibliothek
Navigieren Sie in der linken Navigationsleiste zu Library .
Wählen Sie in der oberen rechten Ecke Neu hinzufügen aus.
Scrollen Sie nach unten zum Abschnitt Profile, und wählen Sie SSH aus.
Klicken Sie auf Hinzufügen und konfigurieren.
Konfigurieren des SSH-Library Item
Konfigurieren Sie SSH gemäß den Sicherheitstoleranzen Ihrer Organisation im Abschnitt Allgemein im SSH-Bibliothekselement. Alternativ können Sie die folgenden Anweisungen befolgen, um die NIST- oder STIG-Anforderungen zu erfüllen. Um die CIS L1-Anforderungen zu erfüllen und wenn die Organisation keine CIS- Blueprint der Stufe 1 verwendet, deaktivieren Sie die Verfügbarkeit von SSH-Servern auf macOS.
Die Konfigurationsdateien /etc/ssh/ssh_config und /etc/ssh/sshd_config können bei jeder Aktualisierung oder einem größeren Upgrade auf ihre Standardwerte zurückgesetzt werden. Der Kandji -Agent führt jedoch automatisch eine Standardisierung durch und legt die entsprechenden Werte fest, die im SSH-Library Item definiert sind.
Fügen Sie im Feld Titel hinzufügen einen beschreibenden Titel hinzu.
Weisen Sie das SSH-Bibliothekselement einem Blueprint in der Dropdown-Liste "Blueprint auswählen" zu.
Konfigurieren Sie optional Zuweisungsregeln.
Wählen Sie SSH-Serververfügbarkeit aus.
Klicken Sie auf Ein.
Wählen Sie Challenge-Response-Authentifizierung aus.
Klicken Sie auf Ein.
Wählen Sie Root-Anmeldung aus.
Klicken Sie auf Aus.
Wählen Sie SSH-Anmeldebanner aus.
Klicken Sie auf Ein.
Geben Sie einen benutzerdefinierten Bannertext gemäß der Sicherheitsrichtlinie Ihrer Organisation ein. Sie können auch den Standardtext verwenden.
Wählen Sie Kulanzzeitraum für Anmeldeversuch aus.
Stellen Sie sicher, dass das Timeout für den Anmeldeversuch auf 30 Sekunden festgelegt ist.
Wählen Sie Sitzungstimeout aus.
Stellen Sie sicher, dass das Sitzungstimeout auf 900 Sekunden eingestellt ist.
Wählen Sie Maximale Lebendanzahl aus.
Stellen Sie sicher, dass die Alive-Anzahl auf 0 Nachrichten festgelegt ist.
Wählen Sie Nicht-FIPS-Verschlüsselungen entfernen aus.
Wählen Sie Nicht-FIPS-Nachrichtenauthentifizierungscodes entfernen aus.
Wählen Sie Sichere Schlüsselaustauschalgorithmen verwenden aus.
Klicken Sie auf Speichern.