Logo Khaganat

Wikhan

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
fr:ssh [2024/06/23 18:29] – [Gérer les droits des dossiers et autres bonnes pratiques] zatalyzfr:ssh [2025/01/29 21:24] (Version actuelle) – [RSA, ECDSA ou Ed25519 ?] zatalyz
Ligne 59: Ligne 59:
  
 Actuellement (octobre 2018) les seules clés considérées comme fiables sont les clés Ed25519, ECDSA ou RSA d'une taille au moins égale à 2048 bits (4096 ou plus étant mieux mais pas significativement). Actuellement (octobre 2018) les seules clés considérées comme fiables sont les clés Ed25519, ECDSA ou RSA d'une taille au moins égale à 2048 bits (4096 ou plus étant mieux mais pas significativement).
 +
 +Sur les serveurs de Khaganat, nous n'acceptons que les clés Ed25519.
 ==== Le fichier /home/user/.ssh/config ==== ==== Le fichier /home/user/.ssh/config ====
 Ce fichier permet de personnaliser ses accès à ssh de façon extrêmement pratique.  Ce fichier permet de personnaliser ses accès à ssh de façon extrêmement pratique. 
Ligne 359: Ligne 361:
  
   service ssh restart    service ssh restart 
-  + 
 +=== Exemple de fichier /etc/ssh/sshd_config.d/, 2025 === 
 +<WRAP center round todo 60%> 
 +Je pose ça tant que j'y pense, ceci est la version à jour en 2025 proposé par Tycho. Attention cependant avant de déployer ça sur les serveurs :  
 +  * Seules les clés Ed25519 seront acceptées 
 +  * Les protocoles d'échange de clés sont basés sur les travaux post-quantiques, disponibles uniquement à partir d'une certaine version d'OpenSSH (laquelle ?) 
 +  * Faut "qu'on" documente ici les éléments qui n'ont pas été documenté avant. 
 + 
 +Bref, ne pas utiliser "comme ça", mais ce serait bien de faire évoluer notre fichier d'exemple.  
 + 
 +Et on met dans ''/etc/ssh/sshd_config.d/'' : "le mieux c'est de laisser le ''/etc/ssh/sshd_config'' de base, qui doit inclure tous les fichiers situés dans /etc/ssh/sshd_config.d/." Vérifiez que /etc/ssh/sshd_config inclue bien les fichiers de ''sshd_config.d''
 +</WRAP> 
 + 
 +<code txt /etc/ssh/sshd_config.d/10-hardened.conf> 
 +StrictModes yes 
 + 
 +HostKey /etc/ssh/ssh_host_ed25519_key 
 +Ciphers chacha20-poly1305@openssh.com,aes128-gcm@openssh.com,aes256-gcm@openssh.com 
 +MACs hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com 
 +KexAlgorithms sntrup761x25519-sha512,sntrup761x25519-sha512@openssh.com,mlkem768x25519-sha256 
 +PubkeyAcceptedAlgorithms ssh-ed25519,ssh-ed25519-cert-v01@openssh.com,sk-ssh-ed25519@openssh.com,sk-ssh-ed25519-cert-v01@openssh.com 
 + 
 +PermitRootLogin no 
 +# AllowUsers zatalyz 
 +# OU 
 +AllowGroups wheel 
 + 
 +PasswordAuthentication no 
 +PermitEmptyPasswords no 
 +KbdInteractiveAuthentication no 
 + 
 +MaxAuthTries 2 
 +LoginGraceTime 30 
 + 
 +PrintLastLog yes 
 + 
 +PermitUserEnvironment no 
 +AllowTcpForwarding no 
 +X11Forwarding no 
 +</code>
 ==== Gérer les droits des dossiers et autres bonnes pratiques ==== ==== Gérer les droits des dossiers et autres bonnes pratiques ====
 Si vous ouvrez un accès SSH à plusieurs personnes sur un serveur, cela ne veux pas dire qu'elles ont le droit de tout faire forcément. Ni de tout voir. Si vous ouvrez un accès SSH à plusieurs personnes sur un serveur, cela ne veux pas dire qu'elles ont le droit de tout faire forcément. Ni de tout voir.
Ligne 380: Ligne 421:
  
 <code> <code>
-mkdir /home/USER/web+sudo mkdir /home/USER/web
 sudo chmod ln -s /home/USER/web /var/www/SITE_USER/ sudo chmod ln -s /home/USER/web /var/www/SITE_USER/
-sudo chown www-data:USER  /home/USER/web+sudo chown -R USER:www-data  /home/USER/web
 </code> </code>
  
CC Attribution-Share Alike 4.0 International Driven by DokuWiki
fr/ssh.1719167374.txt.gz · Dernière modification : 2024/06/23 18:29 de zatalyz
Licences Mentions légales Accueil du site Contact