Différences

Ci-dessous, les différences entre deux révisions de la page.

--- fr:ssh [2023/08/14 09:30] – [Paramétrer sshd_config] deprecated UsePrivilegeSeparation zatalyz
+++ fr:ssh [2025/01/29 21:24] (Version actuelle) – [RSA, ECDSA ou Ed25519 ?] zatalyz
@@ Ligne 59: / Ligne 59: @@
 Actuellement (octobre 2018) les seules clés considérées comme fiables sont les clés Ed25519, ECDSA ou RSA d'une taille au moins égale à 2048 bits (4096 ou plus étant mieux mais pas significativement).
+Sur les serveurs de Khaganat, nous n'acceptons que les clés Ed25519.
 ==== Le fichier /home/user/.ssh/config ====
 Ce fichier permet de personnaliser ses accès à ssh de façon extrêmement pratique.
@@ Ligne 331: / Ligne 333: @@
 PermitRootLogin no
 StrictModes yes
-UsePrivilegeSeparation sandbox # si dispo sinon
-# UsePrivilegeSeparation yes
 PasswordAuthentication no
@@ Ligne 361: / Ligne 361: @@
   service ssh restart
+=== Exemple de fichier /etc/ssh/sshd_config.d/, 2025 ===
+<WRAP center round todo 60%>
+Je pose ça tant que j'y pense, ceci est la version à jour en 2025 proposé par Tycho. Attention cependant avant de déployer ça sur les serveurs :
+  * Seules les clés Ed25519 seront acceptées
+  * Les protocoles d'échange de clés sont basés sur les travaux post-quantiques, disponibles uniquement à partir d'une certaine version d'OpenSSH (laquelle ?)
+  * Faut "qu'on" documente ici les éléments qui n'ont pas été documenté avant.
+Bref, ne pas utiliser "comme ça", mais ce serait bien de faire évoluer notre fichier d'exemple.
+Et on met dans ''/etc/ssh/sshd_config.d/'' : "le mieux c'est de laisser le ''/etc/ssh/sshd_config'' de base, qui doit inclure tous les fichiers situés dans /etc/ssh/sshd_config.d/." Vérifiez que /etc/ssh/sshd_config inclue bien les fichiers de ''sshd_config.d''.
+</WRAP>
+<code txt /etc/ssh/sshd_config.d/10-hardened.conf>
+StrictModes yes
+HostKey /etc/ssh/ssh_host_ed25519_key
+Ciphers chacha20-poly1305@openssh.com,aes128-gcm@openssh.com,aes256-gcm@openssh.com
+MACs hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com
+KexAlgorithms sntrup761x25519-sha512,sntrup761x25519-sha512@openssh.com,mlkem768x25519-sha256
+PubkeyAcceptedAlgorithms ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,sk-ssh-ed25519@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com
+PermitRootLogin no
+# AllowUsers zatalyz
+# OU
+AllowGroups wheel
+PasswordAuthentication no
+PermitEmptyPasswords no
+KbdInteractiveAuthentication no
+MaxAuthTries 2
+LoginGraceTime 30
+PrintLastLog yes
+PermitUserEnvironment no
+AllowTcpForwarding no
+X11Forwarding no
+</code>
+==== Gérer les droits des dossiers et autres bonnes pratiques ====
+Si vous ouvrez un accès SSH à plusieurs personnes sur un serveur, cela ne veux pas dire qu'elles ont le droit de tout faire forcément. Ni de tout voir.
+<WRAP center round info 90%>
+Rappel vite fait pour créer une utilisatrice avec son groupe associé, un home et un shell fonctionnel (remplacer ''USER'') :
+  sudo useradd USER -m -U -s /bin/bash
+Et penser à lui mettre un mot de passe :
+  sudo passwd USER
+</WRAP>
+Debian crée par défaut des répertoires "home" avec droit de lecture pour tout le monde (other). Enlever ces droits permet déjà d'isoler un peu :
+  sudo chmod o-rx /home/*
+Ça n'empêchera pas quelqu'un qui peut passer en root de tout voir au besoin.
+Si l'objectif est d'ouvrir un accès web, il me semble plus facile de gérer en créant un dossier "web" dans le dossier de l'utilisatrice, puis faire un lien symbolique depuis /var/www, et donner les droits à www-data d'agir dessus :
+<code>
+sudo mkdir /home/USER/web
+sudo chmod ln -s /home/USER/web /var/www/SITE_USER/
+sudo chown -R USER:www-data  /home/USER/web
+</code>
 ===== Pour aller plus loin =====
   * [[http://doc.fedora-fr.org/wiki/SSH_:_Authentification_par_cl%C3%A9|Une explication plus complète sur les clés ssh, en français.]]