📋 Configuration SSH sĂ©curisĂ©e 🔑

Suite Ă  la demande de Ricardo, cherchant conseils et posant des questions utiles Ă -propos de la bonne configuration de SSH, je lui avais postĂ© ce mĂ©mo que j’avais Ă©crit, en AoĂ»t 2015 :

Hier, et aujourd’hui, je me suis plongĂ© dans les fichiers README relatives aux diffĂ©rentes versions 6.x et 7.x.

Le premier mĂ©mo confirme ce que j’avais Ă©crit dans l’article ci-dessus, le deuxiĂšme article informe d’un avis de sĂ©curitĂ© important !


De la bonne configuration des fichiers de config SSH.

CÎté serveur : fichier de config /etc/ssh/sshd_config 
 le fichier ssh_config lui sert à obliger les stations qui chercheraient à se connecter
CÎté station : fichier de config ~/.ssh/ssh_config

En résumé :

    • CĂŽtĂ© client/serveur : utiliser de prĂ©fĂ©rence les modes de chiffrement Ciphers suivant :
    • cĂŽtĂ© client/serveur : utiliser de prĂ©fĂ©rence les modes MAC EtM, :
    • cĂŽtĂ© client/serveur : utiliser les algorithmes KexAlgorithms suivants : curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
    • cĂŽtĂ© client/serveur : utiliser le chiffrement ED25519 pour gĂ©nĂ©rer vos nouvelles clĂ©s, et/ou les mettre Ă  jour ! (pour savoir comment les gĂ©nĂ©rer, lire mon premier mĂ©mo.)
    • cĂŽtĂ© client : utiliser l’option ‘UseRoaming no’ !
  • (Ă  utiliser impĂ©rativement pour toutes les versions <= 7.2 - option dĂ©sactivĂ©e dĂ©finitivement Ă  partir de cette version 7.2)
  1. -cĂŽtĂ© client : utiliser l’option “IdentityPersist” qui dĂ©finit le temps de vie de la clĂ© enregistrĂ©e (en nombre de secondes, ou “true”, pour infini.)

Concernant l’outil “ssh-keygen” :

  1. On n’utilise plus les chiffrements DSA, ECDSA : byebye !!!
  2. On utilise correctement RSA, Ă  mimina avec l’option ‘-o’ utilisant le durcissement PKBDF, et des clĂ©s minimales de 4096 bits, voire plus - tel que, par exemple :
  • ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa -o
  • ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa -o -a 64
  1. Mieux on utilise directement le chiffrement ED25519, avec l’option ‘-o’ utilisant le durcissement PKBDF - tel que, par exemple :
  • ssh-keygen -t ed25519 -f ~/.ssh/id_ed25519 -o -a 64

Pour mĂ©mo, l’option ‘-a’ spĂ©cifie le nombre de tours dĂ©sirĂ©s ; si non spĂ©cifiĂ©e, le durcissement PKBDF sera utilisĂ© en faisant 16 tours de chiffrement. La valeur 64 est la recommandation actuelle pour les paranoĂŻaques.

/!\ Attention : plus la clĂ© durcie est crĂ©Ă©e avec un nombre de bits important, et un nombre de tours considĂ©rables, plus le temps de connexion au serveur sera allongĂ© - ce temps est nĂ©cessaire et nĂ©cessitĂ© pour que la machine “dĂ©code” votre clĂ© - cela a donc un impact non nĂ©gligeable sur le temps de connexion, et donc sur l’usage d’option, telle que “LoginGraceTime” 
 la recommandation actuelle est de 60 secondes. Si pour vos besoins, vous avez baissĂ© Ă  moins de secondes, il va falloir remonter cette valeur 
 etc 
 etc 
 [b]/![/b]
Ainsi lĂ  oĂč avant vous arriviez Ă  vous connecter en quelques petites secondes, la probabilitĂ© que ce soit en plusieurs dizaines de secondes est une rĂ©alitĂ© !



Ci-joint un script de génération de clés !

3 J'aime

Tu dois pouvoir modifier maintenant je pense. J’ai modifiĂ© les paramĂštres de configuration du forum pour ça.

OUI, ça marche 
 merci :smiley:

Ajout de 2 tutos 

Ajout des informations sensibles à-propos de l’outil ssh-keygen

  • modification de pagination ! :stuck_out_tongue:

Ajout de l’information importante, concernant le temps de connexion allongĂ© !