index.html 38 KB

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457458459460461462463464465466467468469470471472473474475476477478479480481482483484485486487488489490491492493494495496497498499500501502503504505506507508509510511512513514515516517518519520521522523524525526527528529530531532533534535536537538539540541542543544545546547548549550551552553554555556557558559560561562563564565566567568569570571572573574575576577578579580581582583584585586587588589590591592593594595596597598599600601602603604605606607608609610611612613614615616617618619620621622623624625626627628629630631632633634635636637638639640641642643644645646647648649650651652653654655656657658659660661662663664665666667668669670671672673674675676677678679680681682683684685686687688689690691692693694695696697698699700701702703704705706707708709710711712713714715716717718719720721722723724725726727728729730731732733734735736737738739740741742743744745746747748749750751752753754755756757758759760761762763764765766767768769770771772773774775776777778779780781782783784785786787788789790791792793794795796797798799800801802803804805806807808809810811812813814815816817818819820821822823824825826827828829830831832833834835836837838839840841842843844845846847848849850851852853854855856857858859860861862863864865866867868869870871872873874875876877878879880881882883884885886887888889890891892893894895896
  1. <!DOCTYPE html>
  2. <!--[if IE 8]><html class="no-js lt-ie9" lang="en" > <![endif]-->
  3. <!--[if gt IE 8]><!--> <html class="no-js" lang="en" > <!--<![endif]-->
  4. <head>
  5. <meta charset="utf-8">
  6. <meta http-equiv="X-UA-Compatible" content="IE=edge">
  7. <meta name="viewport" content="width=device-width, initial-scale=1.0">
  8. <link rel="shortcut icon" href="../../../img/favicon.ico">
  9. <title>Sécurisation SSH - Les Tutoriels du Yojik</title>
  10. <link rel="stylesheet" href="../../../css/theme.css" />
  11. <link rel="stylesheet" href="../../../css/theme_extra.css" />
  12. <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/highlight.js/9.12.0/styles/github.min.css" />
  13. <script>
  14. // Current page data
  15. var mkdocs_page_name = "S\u00e9curisation SSH";
  16. var mkdocs_page_input_path = "Tutoriels/tutoraspi/S\u00e9curisation-SSH.md";
  17. var mkdocs_page_url = null;
  18. </script>
  19. <script src="../../../js/jquery-2.1.1.min.js" defer></script>
  20. <script src="../../../js/modernizr-2.8.3.min.js" defer></script>
  21. <script src="https://cdnjs.cloudflare.com/ajax/libs/highlight.js/9.12.0/highlight.min.js"></script>
  22. <script>hljs.initHighlightingOnLoad();</script>
  23. </head>
  24. <body class="wy-body-for-nav" role="document">
  25. <div class="wy-grid-for-nav">
  26. <nav data-toggle="wy-nav-shift" class="wy-nav-side stickynav">
  27. <div class="wy-side-scroll">
  28. <div class="wy-side-nav-search">
  29. <a href="../../.." class="icon icon-home"> Les Tutoriels du Yojik</a>
  30. <div role="search">
  31. <form id ="rtd-search-form" class="wy-form" action="../../../search.html" method="get">
  32. <input type="text" name="q" placeholder="Search docs" title="Type search term here" />
  33. </form>
  34. </div>
  35. </div>
  36. <div class="wy-menu wy-menu-vertical" data-spy="affix" role="navigation" aria-label="main navigation">
  37. <p class="caption"><span class="caption-text">Home</span></p>
  38. <ul>
  39. <li class="toctree-l1"><a class="reference internal" href="../../..">Page d'accueil</a>
  40. </li>
  41. </ul>
  42. <p class="caption"><span class="caption-text">Tutoriels</span></p>
  43. <ul class="current">
  44. <li class="toctree-l1"><a class="reference internal" href="../../tutos/">Introduction</a>
  45. </li>
  46. <li class="toctree-l1"><a class="reference internal" href="#">Installation d'un serveur sécurisé, version Debian/Stretch (obsolète)</a>
  47. <ul>
  48. <li class="toctree-l2"><a class="reference internal" href="../../tutostretch/tutostretch/">Présentation</a>
  49. </li>
  50. <li class="toctree-l2"><a class="reference internal" href="#">Installation</a>
  51. <ul>
  52. <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-de-base/">Installation du système de base</a>
  53. </li>
  54. <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/ovh/">Démarrage sur serveur OVH</a>
  55. </li>
  56. <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Premi%C3%A8re-Etape-S%C3%A9curisation/">Première étapes de sécurisation du serveur</a>
  57. </li>
  58. <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Configuration-R%C3%A9seau/">Configuration du réseau</a>
  59. </li>
  60. <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Serveur-Temps/">Installation d'un serveur de temps</a>
  61. </li>
  62. <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Parre-Feu/">Installation d'un pare-feu</a>
  63. </li>
  64. <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Fail2ban/">Contrer les attaques de brute-force avec fail2ban</a>
  65. </li>
  66. <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Serveur-Courrier-Basique/">Installation d'un serveur de courrier basique</a>
  67. </li>
  68. <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Serveur-DNS/">Installation du serveur DNS</a>
  69. </li>
  70. <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Serveur-Web/">Installation d'un serveur web</a>
  71. </li>
  72. <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Dovecot-Authentification/">Installation de dovecot et de l'authentification</a>
  73. </li>
  74. <li class="toctree-l3"><a class="" href="../../tutostretch/Installation-Certificats-Letsencrypt.md)">Installation des certificats letsencrypt</a>
  75. </li>
  76. <li class="toctree-l3"><a class="" href="../../tutostretch/courrier-SPF-DKIM-OPENDMARC.md">Ajout des enregistrements **spf**, **DKIM**, **DMARC** au fichier de zone DNS</a>
  77. </li>
  78. <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Courrier-Comptes-Virtuels/">Ajout des comptes émail virtuels</a>
  79. </li>
  80. <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Surveillance-Serveur/">Installation de programmes de surveillance du serveur</a>
  81. </li>
  82. <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Webmail/">Installation d'un webmail (rainloop)</a>
  83. </li>
  84. <li class="toctree-l3"><a class="" href="../../tutostretch/Sécurisation-Serveur-Web">Sécurisation d'un serveur WEB</a>
  85. </li>
  86. </ul>
  87. </li>
  88. </ul>
  89. </li>
  90. <li class="toctree-l1"><a class="reference internal" href="#">Installation d'un serveur sécurisé, version Debian/Buster (en cours d'écriture)</a>
  91. <ul>
  92. <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/1-tutobuster/">Présentation</a>
  93. </li>
  94. <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/2-Installation-de-base/">Installation de base</a>
  95. </li>
  96. <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/3-ovh/">Démarrage sur serveur OVH</a>
  97. </li>
  98. <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/4-Plan/">Plan d'ensemble</a>
  99. </li>
  100. <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/5-Premi%C3%A8re-Etape-S%C3%A9curisation/">Premières étapes de sécurisation du serveur</a>
  101. </li>
  102. </ul>
  103. </li>
  104. <li class="toctree-l1 current"><a class="reference internal current" href="#">Installation d'un serveur sécurisé, version Debian/Buster sur RaspberryPI</a>
  105. <ul class="current">
  106. <li class="toctree-l2"><a class="reference internal" href="../tutoraspi/">Présentation</a>
  107. </li>
  108. <li class="toctree-l2"><a class="reference internal" href="../Installation-de-base/">Installation de base</a>
  109. </li>
  110. <li class="toctree-l2"><a class="reference internal" href="../Premier-d%C3%A9marrage/">Premier démarrage</a>
  111. </li>
  112. <li class="toctree-l2"><a class="reference internal" href="../Etat-des-lieux/">État des lieux</a>
  113. </li>
  114. <li class="toctree-l2 current"><a class="reference internal current" href="./">Sécurisation SSH</a>
  115. <ul class="current">
  116. <li class="toctree-l3"><a class="reference internal" href="#references">Références</a>
  117. </li>
  118. <li class="toctree-l3"><a class="reference internal" href="#creation-dune-clef-personnalisee">Création d'une clef personnalisée</a>
  119. <ul>
  120. <li class="toctree-l4"><a class="reference internal" href="#test-du-hostname-sur-notre-raspi">Test du hostname (sur notre raspi)</a>
  121. </li>
  122. <li class="toctree-l4"><a class="reference internal" href="#creation-de-notre-clef-personnalisee-sur-le-desktop-pas-sur-le-raspi">Création de notre clef personnalisée (sur le desktop, pas sur le raspi!)</a>
  123. </li>
  124. <li class="toctree-l4"><a class="reference internal" href="#copie-de-la-clef-sur-le-serveur">Copie de la clef sur le serveur</a>
  125. </li>
  126. <li class="toctree-l4"><a class="reference internal" href="#essai-de-connexion-avec-notre-nouvelle-clef">Essai de connexion avec notre nouvelle clef</a>
  127. </li>
  128. <li class="toctree-l4"><a class="reference internal" href="#configuration-de-ssh-sur-la-machine-de-travail">Configuration de ssh sur la machine de travail</a>
  129. </li>
  130. <li class="toctree-l4"><a class="reference internal" href="#test-de-connexion">Test de connexion</a>
  131. </li>
  132. <li class="toctree-l4"><a class="reference internal" href="#amelioration">Amélioration</a>
  133. </li>
  134. <li class="toctree-l4"><a class="reference internal" href="#modification-du-fichier-etcsshsshd_config">Modification du fichier /etc/ssh/sshd_config</a>
  135. </li>
  136. <li class="toctree-l4"><a class="reference internal" href="#test-sur-le-site-ssh-audit">Test sur le site ssh audit</a>
  137. </li>
  138. </ul>
  139. </li>
  140. </ul>
  141. </li>
  142. <li class="toctree-l2"><a class="reference internal" href="../R%C3%A9seau/">Réseau (des IPs fixes)</a>
  143. </li>
  144. <li class="toctree-l2"><a class="reference internal" href="../Knot/">Installation de Knot-resolver</a>
  145. </li>
  146. <li class="toctree-l2"><a class="reference internal" href="../Firewall/">Installation d'un pare-feux</a>
  147. </li>
  148. <li class="toctree-l2"><a class="reference internal" href="../Fail2ban/">Contrer les attaques de force brute</a>
  149. </li>
  150. <li class="toctree-l2"><a class="reference internal" href="../Logwatch/">Surveillance du serveur</a>
  151. </li>
  152. <li class="toctree-l2"><a class="reference internal" href="../Installation-courrier-basique/">Installation d'un serveur de courriers basique</a>
  153. </li>
  154. <li class="toctree-l2"><a class="reference internal" href="../Annexe/">Annexe</a>
  155. </li>
  156. </ul>
  157. </li>
  158. </ul>
  159. </div>
  160. </div>
  161. </nav>
  162. <section data-toggle="wy-nav-shift" class="wy-nav-content-wrap">
  163. <nav class="wy-nav-top" role="navigation" aria-label="top navigation">
  164. <i data-toggle="wy-nav-top" class="fa fa-bars"></i>
  165. <a href="../../..">Les Tutoriels du Yojik</a>
  166. </nav>
  167. <div class="wy-nav-content">
  168. <div class="rst-content">
  169. <div role="navigation" aria-label="breadcrumbs navigation">
  170. <ul class="wy-breadcrumbs">
  171. <li><a href="../../..">Docs</a> &raquo;</li>
  172. <li>Installation d'un serveur sécurisé, version Debian/Buster sur RaspberryPI &raquo;</li>
  173. <li>Tutoriels &raquo;</li>
  174. <li>Sécurisation SSH</li>
  175. <li class="wy-breadcrumbs-aside">
  176. </li>
  177. </ul>
  178. <hr/>
  179. </div>
  180. <div role="main">
  181. <div class="section">
  182. <h1 id="securisation-ssh">Sécurisation SSH</h1>
  183. <p>Je vais baser cette partie sur plusieurs tutoriels auxquels vous voudrez bien vous référer pour avoir des explications plus poussées que celles que je vais donner.</p>
  184. <h2 id="references">Références</h2>
  185. <ul>
  186. <li><a href="https://www.tronyxworld.be/2020/hardening_ssh/">Sécuriser OpenSSH</a></li>
  187. <li><a href="https://blog.syntik.fr/comment-tester-securiser-serveur-ssh/">SSH - Comment tester et sécuriser son serveur ?</a></li>
  188. <li><a href="https://www.cyberciti.biz/faq/create-ssh-config-file-on-linux-unix/">OpenSSH Config File Examples</a></li>
  189. </ul>
  190. <p>Vous pouvez trouver plein d'autres références en français ou anglais en utilisant votre moteur de recherche préféré.</p>
  191. <h2 id="creation-dune-clef-personnalisee">Création d'une clef personnalisée</h2>
  192. <p>Nous allons créer une clef spécifique à notre mini serveur.</p>
  193. <p>Auparavant, nous allons vérifier le <strong>hostname</strong> de notre machine. Si vous l'avez configuré avec <strong>raspi-config</strong>, il y a de grandes chances que le résultat ne soit pas bon.</p>
  194. <p>Sous Debian, le <strong>hostname</strong> est composé de 2 parties situées dans 2 fichiers différents.</p>
  195. <ul>
  196. <li>/etc/hosts (contient le nom complet, FQDN)</li>
  197. <li>/etc/hostname (ne contient que le petit nom de la machine, sans le domaine)</li>
  198. </ul>
  199. <h3 id="test-du-hostname-sur-notre-raspi">Test du hostname (sur notre raspi)</h3>
  200. <pre><code>pi@piras:~ $ hostname -f
  201. piras.yojik.net
  202. pi@piras:~ $ hostname
  203. piras
  204. pi@piras:~ $
  205. </code></pre>
  206. <p>Le fichier /etc/hostname ne doit contenir que le nom de la machine, pas le domaine : ici, piras, et c'est ce que renvoie la commande <strong>hostname</strong>.</p>
  207. <pre><code>pi@piras:~ $ cat /etc/hostname
  208. piras
  209. pi@piras:~ $
  210. </code></pre>
  211. <p><strong>hostname -f</strong> renvoie le "fqdn", ou nom complet de la machine, ici, piras.yojik.net.</p>
  212. <p>La référence complète du nom se trouve dans le fichier /etc/hosts.</p>
  213. <pre><code>pi@piras:~ $ cat /etc/hosts
  214. 127.0.0.1 localhost
  215. ::1 localhost ip6-localhost ip6-loopback
  216. ff02::1 ip6-allnodes
  217. ff02::2 ip6-allrouters
  218. 127.0.1.1 piras.yojik.net piras
  219. pi@piras:~ $
  220. </code></pre>
  221. <p>Pour l'instant, c'est l'adresse 127.0.1.1 qui est utilisée comme référence du nom, mais nous changerons ça dès que nous aurons configuré une adresse IPV4 et IPV6 fixe.</p>
  222. <h3 id="creation-de-notre-clef-personnalisee-sur-le-desktop-pas-sur-le-raspi">Création de notre clef personnalisée (sur le desktop, pas sur le raspi!)</h3>
  223. <p>Nous utiliserons la commande :</p>
  224. <pre><code>sh-keygen -o -a 100 -t ed25519 -f ~/.ssh/piras_ed25519 -C "clef SSH de l'utilisateur pi du Raspi"
  225. </code></pre>
  226. <ul>
  227. <li>-o : Sauvegarde votre clé dans le nouveau format openssh au lieu de l’ancien format PEM</li>
  228. <li>-C : insertion d'un commentaire (ce que vous voulez, votre adresse émail ...).</li>
  229. <li>-f : nom du fichier à produire</li>
  230. <li>-a : le nombre de tours de la clef de dérivation (plus il est élevé, plus il est difficile de la craquer en force brute, mais aussi plus c'est lent) <pre><code>eric@aldebaran:~$ ssh-keygen -o -a 100 -t ed25519 -f ~/.ssh/piras_ed25519 -C "eric@yojik.eu"
  231. Generating public/private ed25519 key pair.
  232. Enter passphrase (empty for no passphrase):
  233. Enter same passphrase again:
  234. Your identification has been saved in /home/eric/.ssh/piras_ed25519
  235. Your public key has been saved in /home/eric/.ssh/piras_ed25519.pub
  236. The key fingerprint is:
  237. SHA256:yyDsyczL9W1QTTn9d5o0hwZ5A0bdMnCJgK9cniCeR0c eric@yojik.eu
  238. The key's randomart image is:
  239. +--[ED25519 256]--+
  240. | ..o=O.o |
  241. | . E.B.O .|
  242. | o o + * |
  243. | . . o = . = =|
  244. | o..=SB . o =o|
  245. | = ooo=.o o |
  246. | * ..o. |
  247. | . o . .. |
  248. | o ... |
  249. +----[SHA256]-----+
  250. </code></pre>
  251. </li>
  252. </ul>
  253. <p>Si vous allez dans ./.ssh, vous trouverez ceci :</p>
  254. <pre><code>eric@aldebaran:~/.ssh$ ls -l
  255. total 44
  256. -rw------- 1 eric eric 751 7 avril 2011 id_dsa
  257. -rw-r--r-- 1 eric eric 604 7 avril 2011 id_dsa.pub
  258. -rw------- 1 eric eric 1766 1 avril 2013 id_rsa
  259. -rw-r--r-- 1 eric eric 396 1 avril 2013 id_rsa.pub
  260. -rw-r--r-- 1 eric eric 3728 29 nov. 12:20 known_hosts
  261. -rw------- 1 eric eric 444 11 déc. 18:17 piras_ed25519
  262. -rw-r--r-- 1 eric eric 95 11 déc. 18:17 piras_ed25519.pub
  263. eric@aldebaran:~/.ssh$
  264. </code></pre>
  265. <p>Nous voyons les clefs privées et publiques que nous avons créées. (ainsi que d'anciennes clefs ...) Vérifiez les permissions, mais normalement les commandes ci-dessus les attribuent comme attendu (voir plus bas).</p>
  266. <h3 id="copie-de-la-clef-sur-le-serveur">Copie de la clef sur le serveur</h3>
  267. <p>Nous utiliserons la commande : <strong>ssh-copy-id</strong></p>
  268. <pre><code>eric@aldebaran:~$ ssh-copy-id -i ~/.ssh/piras_ed25519.pub pi@192.168.111.32
  269. /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/eric/.ssh/piras_ed25519.pub"
  270. /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
  271. /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
  272. pi@192.168.111.32's password:
  273. Number of key(s) added: 1
  274. Now try logging into the machine, with: "ssh 'pi@192.168.111.32'"
  275. and check to make sure that only the key(s) you wanted were added.
  276. eric@aldebaran:~$
  277. </code></pre>
  278. <p>Vérifions la présence de notre clef sur notre raspi, dans le fichier authorized_keys :</p>
  279. <pre><code>pi@piras:~/.ssh $ cat authorized_keys
  280. ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIAdDDO3ni4DHIxqfRaNZ4SBudrSlRoQjLm/fd2SSjxtM eric@yojik.eu
  281. pi@piras:~/.ssh $
  282. </code></pre>
  283. <p>C'est bon, elle est là !</p>
  284. <h3 id="essai-de-connexion-avec-notre-nouvelle-clef">Essai de connexion avec notre nouvelle clef</h3>
  285. <pre><code>eric@aldebaran:~$ ssh -i ~/.ssh/piras_ed25519 'pi@192.168.111.32'
  286. Linux piras 5.4.51+ #1333 Mon Aug 10 16:38:02 BST 2020 armv6l
  287. The programs included with the Debian GNU/Linux system are free software;
  288. the exact distribution terms for each program are described in the
  289. individual files in /usr/share/doc/*/copyright.
  290. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
  291. permitted by applicable law.
  292. Last login: Fri Dec 11 18:46:55 2020 from 192.168.111.150
  293. pi@piras:~ $
  294. </code></pre>
  295. <p>ça marche ... j'ai précisé la clef <strong>SSH</strong> à utiliser avec l'option <strong>-i nom_de_la_clef</strong>.</p>
  296. <h3 id="configuration-de-ssh-sur-la-machine-de-travail">Configuration de ssh sur la machine de travail</h3>
  297. <p>Je possède plusieurs clefs qui sont spécifiques à certains serveurs (ceux dans ma cave, et ceux sur internet). Nous allons rajouter une configuration pour permettre la sélection automatique de la bonne clef pour chaque serveur.</p>
  298. <p>Cela se fait dans le fichier ~/.ssh/config</p>
  299. <p>Le schéma à utiliser est le suivant :</p>
  300. <pre><code>eric@aldebaran:~$ cat ./.ssh/config
  301. Host piras piras.yojik.net
  302. HostName 192.168.111.32
  303. IdentityFile ~/.ssh/piras_ed25519
  304. User pi
  305. Host adara adara.yojik.eu
  306. HostName adara.yojik.eu
  307. IdentityFile ~/.ssh/id_rsa
  308. User ericadmin
  309. eric@aldebaran:~$
  310. </code></pre>
  311. <p>Cela me permet de me connecter avec la commande :</p>
  312. <pre><code>ssh piras
  313. </code></pre>
  314. <p>Voilà à quoi ressemble mon répertoire <strong>~/.ssh</strong> :</p>
  315. <pre><code>eric@aldebaran:~$ tree .ssh
  316. .ssh
  317. ├── adara
  318. │   ├── adara_ed25519
  319. │   └── adara_ed25519.pub
  320. ├── aijan
  321. │   ├── aijan_ed25519
  322. │   └── aijan_ed25519.pub
  323. ├── alya
  324. │   ├── alya_ed25519
  325. │   └── alya_ed25519.pub
  326. ├── atom
  327. │   ├── atom_ed25519
  328. │   └── atom_ed25519.pub
  329. ├── config
  330. ├── id_dsa
  331. ├── id_dsa.pub
  332. ├── id_ed25519
  333. ├── id_ed25519.pub
  334. ├── id_rsa
  335. ├── id_rsa.pub
  336. ├── known_hosts
  337. ├── mynas2
  338. │   ├── mynas2_ed25519
  339. │   └── mynas2_ed25519.pub
  340. ├── mynas3
  341. │   ├── mynas3_ed25519
  342. │   └── mynas3_ed25519.pub
  343. ├── ns1
  344. │   ├── ns1_ed25519
  345. │   └── ns1_ed25519.pub
  346. ├── ns2
  347. │   ├── ns2_ed25519
  348. │   └── ns2_ed25519.pub
  349. ├── piras
  350. │   ├── piras_ed25519
  351. │   └── piras_ed25519.pub
  352. └── polis
  353. ├── polis_ed25519
  354. └── polis_ed25519.pub
  355. </code></pre>
  356. <p>J'ai mis l'adresse IP ; j'aurai pu mettre le nom FQDN du serveur, mais je le ferai une fois les adresses IP fixées.</p>
  357. <p>Modifions les permissions pour qu'elles soient conformes à ce que demande SSH. (en fait, les bonnes permissions étaient déjà appliquées par la commande ssh-keygen). Si vous organisez votre structure de répertoires comme ci-dessus, ajustez les permissions comme ceci :</p>
  358. <p>Si vous créez un répertoire nommé ~/.ssh/piras ajustez les droits du répertoire comme suit :</p>
  359. <pre><code>chmod 700 ~/.ssh/piras
  360. </code></pre>
  361. <p>Et pour les clefs privées/publiques :</p>
  362. <pre><code>chmod 600 ~/.ssh/config
  363. chmod 600 ~/.ssh/piras/piras_ed25519
  364. chmod 600 ~/.ssh/piras/piras_ed25519.pub
  365. </code></pre>
  366. <h3 id="test-de-connexion">Test de connexion</h3>
  367. <pre><code>eric@aldebaran:~$ ssh piras
  368. Linux piras 5.4.51+ #1333 Mon Aug 10 16:38:02 BST 2020 armv6l
  369. The programs included with the Debian GNU/Linux system are free software;
  370. the exact distribution terms for each program are described in the
  371. individual files in /usr/share/doc/*/copyright.
  372. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
  373. permitted by applicable law.
  374. Last login: Fri Dec 11 18:49:37 2020 from 192.168.111.150
  375. pi@piras:~ $
  376. </code></pre>
  377. <p>Ça marche ;)</p>
  378. <h3 id="amelioration">Amélioration</h3>
  379. <p>Nous allons modifier temporairement (et le re-modifierons une fois les adresses fixées) notre fichier /etc/hosts sur notre machine de travail pour pouvoir utiliser la méthode par nom plutôt que par adresse IP. Ajoutons la référence à notre raspi :</p>
  380. <pre><code>eric@aldebaran:~$ cat /etc/hosts
  381. 127.0.0.1 localhost
  382. 127.0.1.1 aldebaran.yojik.net aldebaran
  383. 192.168.111.32 piras.yojik.net piras
  384. # The following lines are desirable for IPv6 capable hosts
  385. ::1 localhost ip6-localhost ip6-loopback
  386. ff02::1 ip6-allnodes
  387. ff02::2 ip6-allrouters
  388. eric@aldebaran:~$
  389. </code></pre>
  390. <p>Modification de ./.ssh/config :</p>
  391. <pre><code>eric@aldebaran:~$ cat ./.ssh/config
  392. Host piras piras.yojik.net
  393. HostName piras.yojik.net
  394. IdentityFile ~/.ssh/piras_ed25519
  395. User pi
  396. Host adara adara.yojik.eu
  397. HostName adara.yojik.eu
  398. IdentityFile ~/.ssh/id_rsa
  399. User ericadmin
  400. eric@aldebaran:~$
  401. </code></pre>
  402. <p>Test :</p>
  403. <pre><code>eric@aldebaran:~$ ssh piras
  404. The authenticity of host 'piras.yojik.net (192.168.111.32)' can't be established.
  405. ECDSA key fingerprint is SHA256:DjB1teyxsYAZzGBV8BIXiG5+UAb3JU5SHp7vu/xArG8.
  406. Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
  407. Warning: Permanently added 'piras.yojik.net' (ECDSA) to the list of known hosts.
  408. Linux piras 5.4.51+ #1333 Mon Aug 10 16:38:02 BST 2020 armv6l
  409. The programs included with the Debian GNU/Linux system are free software;
  410. the exact distribution terms for each program are described in the
  411. individual files in /usr/share/doc/*/copyright.
  412. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
  413. permitted by applicable law.
  414. Last login: Fri Dec 11 19:17:50 2020 from 192.168.111.150
  415. pi@piras:~ $
  416. </code></pre>
  417. <p>L'adresse de notre raspi a été ajoutée au fichier ./.ssh/known_hosts</p>
  418. <h3 id="modification-du-fichier-etcsshsshd_config">Modification du fichier /etc/ssh/sshd_config</h3>
  419. <p>Nous allons modifier ce fichier pour plus de sécurité :</p>
  420. <ul>
  421. <li>pas de connexion de l'utilisateur root</li>
  422. <li>connexion uniquement par clef (pas par login/mot de passe)</li>
  423. <li>suppression du support des protocoles non sûrs</li>
  424. <li>autorisation de connexion sur liste blanche</li>
  425. <li>connexion en IPV4 et IPV6</li>
  426. </ul>
  427. <p>Tout d'abord, sauvegarde du répertoire <strong>/etc/ssh</strong> :</p>
  428. <pre><code>pi@raspberrypi:/etc $ sudo cp -R ssh ssh.orig
  429. pi@raspberrypi:/etc $
  430. </code></pre>
  431. <p>Ensuite, création du nouveau fichier (après installation de vim, mais vous pouvez prendre l'éditeur de votre choix, nano par exemple qui est installé par défaut):</p>
  432. <blockquote>
  433. <p>Pour installer vim, tapez : <strong>sudo apt install vim</strong></p>
  434. </blockquote>
  435. <p>Voilà une copie du fichier de conf du site <strong>troxyworld</strong> dont j'ai déjà donné les références :</p>
  436. <pre><code># Interface &amp; Port
  437. Port 61022
  438. AddressFamily any
  439. ListenAddress 0.0.0.0
  440. ListenAddress ::
  441. HostKey /etc/ssh/ssh_host_ed25519_key
  442. Protocol 2
  443. SyslogFacility AUTHPRIV
  444. LogLevel VERBOSE
  445. # Authentication restriction
  446. LoginGraceTime 30s
  447. PermitRootLogin no
  448. StrictModes yes
  449. MaxAuthTries 3
  450. MaxSessions 5
  451. PubkeyAuthentication yes
  452. AllowUsers hmichael
  453. AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
  454. HostbasedAuthentication no
  455. IgnoreRhosts yes
  456. # To disable tunneled clear text passwords, change to no here!
  457. PermitEmptyPasswords no
  458. PasswordAuthentication no
  459. # Change to no to disable s/key passwords
  460. ChallengeResponseAuthentication no
  461. UsePAM yes
  462. AllowAgentForwarding no
  463. AllowTcpForwarding no
  464. GatewayPorts no
  465. X11Forwarding no
  466. PermitTTY yes
  467. PermitUserEnvironment no
  468. PrintMotd no
  469. PrintLastLog no
  470. #TCPKeepAlive yes
  471. #PermitUserEnvironment no
  472. #Compression delayed
  473. #ClientAliveInterval 0
  474. #ClientAliveCountMax 3
  475. #ShowPatchLevel no
  476. UseDNS yes
  477. PidFile /var/run/sshd.pid
  478. MaxStartups 10:30:100
  479. PermitTunnel no
  480. #ChrootDirectory none
  481. VersionAddendum none
  482. # no default banner path
  483. Banner none
  484. # Accept locale-related environment variables
  485. AcceptEnv LANG LC_*
  486. # override default of no subsystems
  487. Subsystem sftp /usr/libexec/openssh/sftp-server
  488. </code></pre>
  489. <p>Et voici une version par <strong>Synthic</strong>:</p>
  490. <pre><code># Utilisation de la version 2 du protocole SSH
  491. Protocol 2
  492. # Utilisation du port 22. Il est possible de le modifier
  493. Port 22
  494. # Interdit à root de s'identifier
  495. PermitRootLogin no
  496. PermitEmptyPasswords no
  497. # On indique ici la liste des utilisateurs ayant la permission d'utiliser SSH
  498. AllowUsers utilisateur
  499. # Nombre d'essais avant fermeture de la connexion
  500. MaxAuthTries 3
  501. UsePAM no
  502. # Authentification par clés
  503. PubkeyAuthentication yes
  504. # Lieux où sont stockées les clés publiques --&gt; /home/user/.ssh/authorized_keys
  505. AuthorizedKeysFile .ssh/authorized_keys
  506. ChallengeResponseAuthentication yes
  507. # Désactivation de l'authentification par mot de passe
  508. PasswordAuthentication no
  509. IgnoreRhosts yes
  510. HostbasedAuthentication no
  511. AcceptEnv LANG LC_*
  512. Subsystem sftp /usr/lib/openssh/sftp-server
  513. PrintMotd no
  514. Ciphers aes256-ctr,aes192-ctr,aes128-ctr
  515. X11Forwarding no
  516. </code></pre>
  517. <p>Voilà mon fichier de configuration, à adapter suivant vos préférences (surtout n'oubliez pas d'ajuster le <strong>user</strong> dans l'option <strong>AllowUsers</strong> à votre cas particulier)</p>
  518. <p>Pour ma part, je vais garder le port 22 ; je le changerai peut-être plus tard.</p>
  519. <pre><code>Protocol 2
  520. Port 22
  521. </code></pre>
  522. <p>Blocage de root</p>
  523. <pre><code>PermitRootLogin no
  524. </code></pre>
  525. <p>Pas de mot de passe vide</p>
  526. <pre><code>PermitEmptyPasswords no
  527. </code></pre>
  528. <p>Seul l'utilisateur pi est autorisé</p>
  529. <pre><code>AllowUsers pi
  530. </code></pre>
  531. <p>Connexion uniquement pas clef</p>
  532. <pre><code>PubkeyAuthentication yes
  533. </code></pre>
  534. <p>Modification et limite des tentatives de connexion</p>
  535. <pre><code>LoginGraceTime 30s
  536. PermitRootLogin no
  537. StrictModes yes
  538. MaxAuthTries 3
  539. MaxSessions 5
  540. </code></pre>
  541. <p>Les fichiers de clef autorisés</p>
  542. <pre><code>AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
  543. </code></pre>
  544. <p>Voici la copie du fichier complet :</p>
  545. <pre><code>pi@raspberrypi:~ $ cat /etc/ssh/sshd_config
  546. # $OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $
  547. # This is the sshd server system-wide configuration file. See
  548. # sshd_config(5) for more information.
  549. # This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin
  550. # The strategy used for options in the default sshd_config shipped with
  551. # OpenSSH is to specify options with their default value where
  552. # possible, but leave them commented. Uncommented options override the
  553. # default value.
  554. Port 22
  555. #AddressFamily any
  556. # A décommenter après test sur sur site d'audit, car nos réglages ne permettent
  557. # que de se connecter à partir de notre réseau local
  558. # Si vous voulez que votre serveur soit accessible à partir de l'extérieur
  559. # gardez les valeurs par défaut (ou les options commentées)
  560. #ListenAddress 0.0.0.0
  561. #ListenAddress ::
  562. # Nouveaux réglages
  563. # ListenAddress 192.168.111.0
  564. # ListenAddress 2a01:e0a:d0:3c20::0
  565. # On ne permet que la connexion avec une clef forte
  566. #HostKey /etc/ssh/ssh_host_rsa_key
  567. #HostKey /etc/ssh/ssh_host_ecdsa_key
  568. HostKey /etc/ssh/ssh_host_ed25519_key
  569. # Ciphers and keying
  570. #RekeyLimit default none
  571. # Logging
  572. # Modification du niveau de logging pour plus de détails
  573. #SyslogFacility AUTH
  574. SysLogFacility AUTHPRIV
  575. #LogLevel INFO
  576. LogLevel VERBOSE
  577. # Authentication:
  578. # C'est ici que l'on va ne permettre que l'accès par clef partagée
  579. # et interdire l'accès par mot de passe
  580. # De plus on configure le nombre d'essais et le délai de connexion
  581. # à des valeurs plus courtes
  582. LoginGraceTime 30s
  583. PermitRootLogin no
  584. StrictModes yes
  585. MaxAuthTries 3
  586. MaxSessions 5
  587. PubkeyAuthentication yes
  588. # Ajout d'une liste blanche d'utilisateurs autorisés à se connecter
  589. # ici, seulement l'utilisateur pi
  590. AllowUsers pi
  591. # Expect .ssh/authorized_keys2 to be disregarded by default in future.
  592. AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
  593. #AuthorizedPrincipalsFile none
  594. #AuthorizedKeysCommand none
  595. #AuthorizedKeysCommandUser nobody
  596. # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
  597. #HostbasedAuthentication no
  598. # Change to yes if you don't trust ~/.ssh/known_hosts for
  599. # HostbasedAuthentication
  600. #IgnoreUserKnownHosts no
  601. # Don't read the user's ~/.rhosts and ~/.shosts files
  602. #IgnoreRhosts yes
  603. # To disable tunneled clear text passwords, change to no here!
  604. # Interdiction de connexion pas login/mot de passe
  605. PasswordAuthentication yes
  606. # Interdiction de mot de passe vides
  607. PermitEmptyPasswords no
  608. # Change to yes to enable challenge-response passwords (beware issues with
  609. # some PAM modules and threads)
  610. ChallengeResponseAuthentication no
  611. # Kerberos options
  612. #KerberosAuthentication no
  613. #KerberosOrLocalPasswd yes
  614. #KerberosTicketCleanup yes
  615. #KerberosGetAFSToken no
  616. # GSSAPI options
  617. #GSSAPIAuthentication no
  618. #GSSAPICleanupCredentials yes
  619. #GSSAPIStrictAcceptorCheck yes
  620. #GSSAPIKeyExchange no
  621. # Set this to 'yes' to enable PAM authentication, account processing,
  622. # and session processing. If this is enabled, PAM authentication will
  623. # be allowed through the ChallengeResponseAuthentication and
  624. # PasswordAuthentication. Depending on your PAM configuration,
  625. # PAM authentication via ChallengeResponseAuthentication may bypass
  626. # the setting of "PermitRootLogin without-password".
  627. # If you just want the PAM account and session checks to run without
  628. # PAM authentication, then enable this but set PasswordAuthentication
  629. # and ChallengeResponseAuthentication to 'no'.
  630. UsePAM yes
  631. # On va interdire le forwarding
  632. AllowAgentForwarding no
  633. AllowTcpForwarding no
  634. GatewayPorts no
  635. X11Forwarding no
  636. #X11DisplayOffset 10
  637. #X11UseLocalhost yes
  638. #PermitTTY yes
  639. # Pas de message d'acceuil de SSHD
  640. PrintMotd no
  641. #PrintLastLog yes
  642. #TCPKeepAlive yes
  643. #PermitUserEnvironment no
  644. #Compression delayed
  645. #ClientAliveInterval 0
  646. #ClientAliveCountMax 3
  647. # Utilisation du DNS
  648. UseDNS yes
  649. #PidFile /var/run/sshd.pid
  650. #MaxStartups 10:30:100
  651. #PermitTunnel no
  652. #ChrootDirectory none
  653. #VersionAddendum none
  654. # no default banner path
  655. #Banner none
  656. # Allow client to pass locale environment variables
  657. AcceptEnv LANG LC_*
  658. # override default of no subsystems
  659. Subsystem sftp /usr/lib/openssh/sftp-server
  660. # Example of overriding settings on a per-user basis
  661. #Match User anoncvs
  662. # X11Forwarding no
  663. # AllowTcpForwarding no
  664. # PermitTTY no
  665. # ForceCommand cvs server
  666. pi@raspberrypi:~ $
  667. </code></pre>
  668. <p>On redémarre <strong>sshd</strong></p>
  669. <pre><code>sudo systemctl restart sshd.service
  670. </code></pre>
  671. <p>On teste si le service a bien redémarré sans erreurs :</p>
  672. <pre><code>pi@raspberrypi:~ $ sudo systemctl status sshd.service
  673. ● ssh.service - OpenBSD Secure Shell server
  674. Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
  675. Active: active (running) since Sun 2021-02-14 14:59:47 CET; 7s ago
  676. Docs: man:sshd(8)
  677. man:sshd_config(5)
  678. Process: 523 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
  679. Main PID: 524 (sshd)
  680. Tasks: 1 (limit: 269)
  681. CGroup: /system.slice/ssh.service
  682. └─524 /usr/sbin/sshd -D
  683. févr. 14 14:59:46 raspberrypi systemd[1]: Starting OpenBSD Secure Shell server...
  684. févr. 14 14:59:46 raspberrypi sshd[524]: Server listening on 0.0.0.0 port 22.
  685. févr. 14 14:59:47 raspberrypi sshd[524]: Server listening on :: port 22.
  686. févr. 14 14:59:47 raspberrypi systemd[1]: Started OpenBSD Secure Shell server.
  687. pi@raspberrypi:~ $
  688. </code></pre>
  689. <p>C'est bon.</p>
  690. <p>Essai de connexion :</p>
  691. <pre><code>eric@aldebaran:~$ ssh piras
  692. The authenticity of host 'piras.yojik.net (192.168.111.170)' can't be established.
  693. ED25519 key fingerprint is SHA256:NW70QB3uNQ1cnrTQyfXG1Lu1iTDubEv6Oak4PK+DR1k.
  694. Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
  695. Warning: Permanently added 'piras.yojik.net,192.168.111.170' (ED25519) to the list of known hosts.
  696. Enter passphrase for key '/home/eric/.ssh/piras/piras_ed25519':
  697. Linux raspberrypi 5.10.11+ #1399 Thu Jan 28 12:02:28 GMT 2021 armv6l
  698. The programs included with the Debian GNU/Linux system are free software;
  699. the exact distribution terms for each program are described in the
  700. individual files in /usr/share/doc/*/copyright.
  701. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
  702. permitted by applicable law.
  703. Last login: Sun Feb 14 15:02:55 2021 from 192.168.111.150
  704. pi@raspberrypi:~ $
  705. </code></pre>
  706. <p>C'est bon.</p>
  707. <p>Test sur le site d'audit :</p>
  708. <p>Bien, après avoir effacé toutes les données personnelles de mon navigateur (données qui entraînent une erreur «The csrf token is invalid »), le test revient toujours avec une mauvaise note. D'où la suite. Les instructions pour améliorer sont également sur le site <a href="https://www.ssh-audit.com/hardening_guides.html#ubuntu_20_04_lts">SSH-Audit.com recommendations</a></p>
  709. <p>On va sécuriser les échanges en jouant sur 3 options supplémentaires :</p>
  710. <ul>
  711. <li>Ciphers : Le chiffrement utilisé.</li>
  712. <li>KexAlgorithms : Les algorithmes utilisés pour l’échange de clés.</li>
  713. <li>MACs : Message Authentication code, c’est le code qui accompagnent les données échangées dans le but d’assurer leur intégrité pour être certain qu’elles n’ont subies aucune altération pendant/après la transmission.</li>
  714. </ul>
  715. <p>Voilà les étapes à suivre (reprises quasi texto des sites déjà cités) :</p>
  716. <ul>
  717. <li>
  718. <p>Régénération de la clé ED25519 du serveur :</p>
  719. <pre><code>sudo rm -f /etc/ssh/ssh_host_*
  720. sudo ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key -N ""
  721. </code></pre>
  722. </li>
  723. <li>
  724. <p>Retrait des moduli Diffie-Hellman faible :</p>
  725. <pre><code>sudo awk '$5 &gt;= 3071' /etc/ssh/moduli &gt; /home/pi/moduli.safe
  726. sudo mv -f /home/pi/moduli.safe /etc/ssh/moduli
  727. </code></pre>
  728. </li>
  729. <li>
  730. <p>Désactivation des clés DSA/ECDSA &amp; RSA si ce n’est pas déjà fait :</p>
  731. <pre><code>sudo sed -i 's/^HostKey \/etc\/ssh\/ssh_host_\(dsa\|ecdsa\|rsa\)_key$/\#HostKey \/etc\/ssh\/ssh_host_\1_key/g' /etc/ssh/sshd_config
  732. </code></pre>
  733. </li>
  734. <li>
  735. <p>Restriction des ciphers, clés d’échange et des codes d’authentification :</p>
  736. <p>Ajoutez ceci à la fin du fichier /etc/sshd_config:</p>
  737. <pre><code>KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512
  738. Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
  739. MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com
  740. </code></pre>
  741. </li>
  742. <li>
  743. <p>Redémarrage de <strong>sshd</strong></p>
  744. <p>sudo systemctl restart sshd.service</p>
  745. </li>
  746. </ul>
  747. <h3 id="test-sur-le-site-ssh-audit">Test sur le site <a href="https://www.ssh-audit.com/">ssh audit</a></h3>
  748. <p>Tout est OK ... nous sommes passés d'une note <strong>F</strong> à <strong>A+</strong>.</p>
  749. <p><img alt="résultat" src="../../../Images/tutoraspi/Capture%20d%E2%80%99%C3%A9cran%20de%202020-12-12%2009-00-03.png" /></p>
  750. <p><img alt="résultat" src="../../../Images/tutoraspi/Capture%20d%E2%80%99%C3%A9cran%20de%202020-12-12%2009-00-17.png" /></p>
  751. <p><img alt="résultat" src="../../../Images/tutoraspi/Capture%20d%E2%80%99%C3%A9cran%20de%202020-12-11%2014-37-34.png" /></p>
  752. <p><img alt="résultat" src="../../../Images/tutoraspi/Capture%20d%E2%80%99%C3%A9cran%20de%202020-12-12%2009-00-24.png" /></p>
  753. <p><img alt="résultat" src="../../../Images/tutoraspi/Capture%20d%E2%80%99%C3%A9cran%20de%202020-12-12%2009-00-33.png" /></p>
  754. <p><img alt="résultat" src="../../../Images/tutoraspi/Capture%20d%E2%80%99%C3%A9cran%20de%202020-12-12%2009-00-42.png" /></p>
  755. <p><img alt="résultat" src="../../../Images/tutoraspi/Capture%20d%E2%80%99%C3%A9cran%20de%202020-12-12%2009-00-49.png" /></p>
  756. </div>
  757. </div>
  758. <footer>
  759. <div class="rst-footer-buttons" role="navigation" aria-label="footer navigation">
  760. <a href="../R%C3%A9seau/" class="btn btn-neutral float-right" title="Réseau (des IPs fixes)">Next <span class="icon icon-circle-arrow-right"></span></a>
  761. <a href="../Etat-des-lieux/" class="btn btn-neutral" title="État des lieux"><span class="icon icon-circle-arrow-left"></span> Previous</a>
  762. </div>
  763. <hr/>
  764. <div role="contentinfo">
  765. <!-- Copyright etc -->
  766. </div>
  767. Built with <a href="https://www.mkdocs.org/">MkDocs</a> using a <a href="https://github.com/snide/sphinx_rtd_theme">theme</a> provided by <a href="https://readthedocs.org">Read the Docs</a>.
  768. </footer>
  769. </div>
  770. </div>
  771. </section>
  772. </div>
  773. <div class="rst-versions" role="note" aria-label="versions">
  774. <span class="rst-current-version" data-toggle="rst-current-version">
  775. <span><a href="../Etat-des-lieux/" style="color: #fcfcfc;">&laquo; Previous</a></span>
  776. <span style="margin-left: 15px"><a href="../R%C3%A9seau/" style="color: #fcfcfc">Next &raquo;</a></span>
  777. </span>
  778. </div>
  779. <script>var base_url = '../../..';</script>
  780. <script src="../../../js/theme.js" defer></script>
  781. <script src="../../../search/main.js" defer></script>
  782. <script defer>
  783. window.onload = function () {
  784. SphinxRtdTheme.Navigation.enable(true);
  785. };
  786. </script>
  787. </body>
  788. </html>