index.html 33 KB

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457458459460461462463464465466467468469470471472473474475476477478479480481482483484485486487488489490491492493494495496497498499500501502503504505506507508509510511512513514515516517518519520521522523524525526527528529530531532533534535536537538539540541542543544545546547548549550551552553554555556557558559560561562563564565566567568569570571572573574575576577578579580581582583584585586587588589590591592593594595596597598599600601602603604605606607608609610611612613614615616617618619620621622623624625626627628629630631632633634635636637638639640641642643644645646647648649650651652653654655656657658659660661662663664665666667668669670671672673674675676677678679680681682683684685686687688689690691692693694695696697698699700701702703704705706707708709710711712713714715716717718719720721722723724725726727728729730731732733734735736737738739740741742743744745746747748749750751752753754755756757758759760761762763764765766767768769770771772773774775776777778779780781782783784785786787788789790791792793794795796797798799800801802803804805806807808809810811812813814815816817818819820821822823824825826827
  1. <!DOCTYPE html>
  2. <!--[if IE 8]><html class="no-js lt-ie9" lang="en" > <![endif]-->
  3. <!--[if gt IE 8]><!--> <html class="no-js" lang="en" > <!--<![endif]-->
  4. <head>
  5. <meta charset="utf-8">
  6. <meta http-equiv="X-UA-Compatible" content="IE=edge">
  7. <meta name="viewport" content="width=device-width, initial-scale=1.0">
  8. <link rel="shortcut icon" href="../img/favicon.ico">
  9. <title>Sécurisation SSH - Les Tutoriels du Yojik</title>
  10. <link rel="stylesheet" href="../css/theme.css" />
  11. <link rel="stylesheet" href="../css/theme_extra.css" />
  12. <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/highlight.js/9.12.0/styles/github.min.css" />
  13. <script>
  14. // Current page data
  15. var mkdocs_page_name = "S\u00e9curisation SSH";
  16. var mkdocs_page_input_path = "S\u00e9curisation-SSH.md";
  17. var mkdocs_page_url = null;
  18. </script>
  19. <script src="../js/jquery-2.1.1.min.js" defer></script>
  20. <script src="../js/modernizr-2.8.3.min.js" defer></script>
  21. <script src="https://cdnjs.cloudflare.com/ajax/libs/highlight.js/9.12.0/highlight.min.js"></script>
  22. <script>hljs.initHighlightingOnLoad();</script>
  23. </head>
  24. <body class="wy-body-for-nav" role="document">
  25. <div class="wy-grid-for-nav">
  26. <nav data-toggle="wy-nav-shift" class="wy-nav-side stickynav">
  27. <div class="wy-side-scroll">
  28. <div class="wy-side-nav-search">
  29. <a href=".." class="icon icon-home"> Les Tutoriels du Yojik</a>
  30. <div role="search">
  31. <form id ="rtd-search-form" class="wy-form" action="../search.html" method="get">
  32. <input type="text" name="q" placeholder="Search docs" title="Type search term here" />
  33. </form>
  34. </div>
  35. </div>
  36. <div class="wy-menu wy-menu-vertical" data-spy="affix" role="navigation" aria-label="main navigation">
  37. <p class="caption"><span class="caption-text">Installation d'un serveur sécurisé, version Debian/Buster sur RaspberryPI</span></p>
  38. <ul class="current">
  39. <li class="toctree-l1"><a class="reference internal" href="..">Résumé</a>
  40. </li>
  41. <li class="toctree-l1"><a class="reference internal" href="../tutoraspi/">Présentation</a>
  42. </li>
  43. <li class="toctree-l1"><a class="reference internal" href="../Installation-de-base/">Installation de base</a>
  44. </li>
  45. <li class="toctree-l1"><a class="reference internal" href="../Premier-d%C3%A9marrage/">Premier démarrage</a>
  46. </li>
  47. <li class="toctree-l1"><a class="reference internal" href="../Etat-des-lieux/">État des lieux</a>
  48. </li>
  49. <li class="toctree-l1 current"><a class="reference internal current" href="./">Sécurisation SSH</a>
  50. <ul class="current">
  51. <li class="toctree-l2"><a class="reference internal" href="#references">Références</a>
  52. </li>
  53. <li class="toctree-l2"><a class="reference internal" href="#creation-dune-clef-personnalisee">Création d'une clef personnalisée</a>
  54. <ul>
  55. <li class="toctree-l3"><a class="reference internal" href="#test-du-hostname-sur-notre-raspi">Test du hostname (sur notre raspi)</a>
  56. </li>
  57. <li class="toctree-l3"><a class="reference internal" href="#creation-de-notre-clef-personnalisee-sur-le-desktop-pas-sur-le-raspi">Création de notre clef personnalisée (sur le desktop, pas sur le raspi!)</a>
  58. </li>
  59. <li class="toctree-l3"><a class="reference internal" href="#copie-de-la-clef-sur-le-serveur">Copie de la clef sur le serveur</a>
  60. </li>
  61. <li class="toctree-l3"><a class="reference internal" href="#essai-de-connexion-avec-notre-nouvelle-clef">Essai de connexion avec notre nouvelle clef</a>
  62. </li>
  63. <li class="toctree-l3"><a class="reference internal" href="#configuration-de-ssh-sur-la-machine-de-travail">Configuration de ssh sur la machine de travail</a>
  64. </li>
  65. <li class="toctree-l3"><a class="reference internal" href="#test-de-connexion">Test de connexion</a>
  66. </li>
  67. <li class="toctree-l3"><a class="reference internal" href="#amelioration">Amélioration</a>
  68. </li>
  69. <li class="toctree-l3"><a class="reference internal" href="#modification-du-fichier-etcsshsshd_config">Modification du fichier /etc/ssh/sshd_config</a>
  70. </li>
  71. <li class="toctree-l3"><a class="reference internal" href="#test-sur-le-site-ssh-audit">Test sur le site ssh audit</a>
  72. </li>
  73. </ul>
  74. </li>
  75. </ul>
  76. </li>
  77. <li class="toctree-l1"><a class="reference internal" href="../R%C3%A9seau/">Réseau (des IPs fixes)</a>
  78. </li>
  79. <li class="toctree-l1"><a class="reference internal" href="../Knot/">Installation de Knot-resolver</a>
  80. </li>
  81. <li class="toctree-l1"><a class="reference internal" href="../Firewall/">Installation d'un pare-feux</a>
  82. </li>
  83. <li class="toctree-l1"><a class="reference internal" href="../Fail2ban/">Contrer les attaques de force brute</a>
  84. </li>
  85. <li class="toctree-l1"><a class="reference internal" href="../Logwatch/">Surveillance du serveur</a>
  86. </li>
  87. <li class="toctree-l1"><a class="reference internal" href="../Installation-courrier-basique/">Installation d'un serveur de courriers basique</a>
  88. </li>
  89. <li class="toctree-l1"><a class="reference internal" href="../Exemple-d-utilisation-serveur-Web/">Exemple d'utilisation avec un serveur Web</a>
  90. </li>
  91. <li class="toctree-l1"><a class="reference internal" href="../Annexe/">Annexe</a>
  92. </li>
  93. </ul>
  94. </div>
  95. </div>
  96. </nav>
  97. <section data-toggle="wy-nav-shift" class="wy-nav-content-wrap">
  98. <nav class="wy-nav-top" role="navigation" aria-label="top navigation">
  99. <i data-toggle="wy-nav-top" class="fa fa-bars"></i>
  100. <a href="..">Les Tutoriels du Yojik</a>
  101. </nav>
  102. <div class="wy-nav-content">
  103. <div class="rst-content">
  104. <div role="navigation" aria-label="breadcrumbs navigation">
  105. <ul class="wy-breadcrumbs">
  106. <li><a href="..">Docs</a> &raquo;</li>
  107. <li>Installation d'un serveur sécurisé, version Debian/Buster sur RaspberryPI &raquo;</li>
  108. <li>Sécurisation SSH</li>
  109. <li class="wy-breadcrumbs-aside">
  110. </li>
  111. </ul>
  112. <hr/>
  113. </div>
  114. <div role="main">
  115. <div class="section">
  116. <h1 id="securisation-ssh">Sécurisation SSH</h1>
  117. <p>Je vais baser cette partie sur plusieurs tutoriels auxquels vous voudrez bien vous référer pour avoir des explications plus poussées que celles que je vais donner.</p>
  118. <h2 id="references">Références</h2>
  119. <ul>
  120. <li><a href="https://www.tronyxworld.be/2020/hardening_ssh/">Sécuriser OpenSSH</a></li>
  121. <li><a href="https://blog.syntik.fr/comment-tester-securiser-serveur-ssh/">SSH - Comment tester et sécuriser son serveur ?</a></li>
  122. <li><a href="https://www.cyberciti.biz/faq/create-ssh-config-file-on-linux-unix/">OpenSSH Config File Examples</a></li>
  123. </ul>
  124. <p>Vous pouvez trouver plein d'autres références en français ou anglais en utilisant votre moteur de recherche préféré.</p>
  125. <h2 id="creation-dune-clef-personnalisee">Création d'une clef personnalisée</h2>
  126. <p>Nous allons créer une clef spécifique à notre mini serveur.</p>
  127. <p>Auparavant, nous allons vérifier le <strong>hostname</strong> de notre machine. Si vous l'avez configuré avec <strong>raspi-config</strong>, il y a de grandes chances que le résultat ne soit pas bon.</p>
  128. <p>Sous Debian, le <strong>hostname</strong> est composé de 2 parties situées dans 2 fichiers différents.</p>
  129. <ul>
  130. <li>/etc/hosts (contient le nom complet, FQDN)</li>
  131. <li>/etc/hostname (ne contient que le petit nom de la machine, sans le domaine)</li>
  132. </ul>
  133. <h3 id="test-du-hostname-sur-notre-raspi">Test du hostname (sur notre raspi)</h3>
  134. <pre><code>pi@piras:~ $ hostname -f
  135. piras.yojik.net
  136. pi@piras:~ $ hostname
  137. piras
  138. pi@piras:~ $
  139. </code></pre>
  140. <p>Le fichier /etc/hostname ne doit contenir que le nom de la machine, pas le domaine : ici, piras, et c'est ce que renvoie la commande <strong>hostname</strong>.</p>
  141. <pre><code>pi@piras:~ $ cat /etc/hostname
  142. piras
  143. pi@piras:~ $
  144. </code></pre>
  145. <p><strong>hostname -f</strong> renvoie le "fqdn", ou nom complet de la machine, ici, piras.yojik.net.</p>
  146. <p>La référence complète du nom se trouve dans le fichier /etc/hosts.</p>
  147. <pre><code>pi@piras:~ $ cat /etc/hosts
  148. 127.0.0.1 localhost
  149. ::1 localhost ip6-localhost ip6-loopback
  150. ff02::1 ip6-allnodes
  151. ff02::2 ip6-allrouters
  152. 127.0.1.1 piras.yojik.net piras
  153. pi@piras:~ $
  154. </code></pre>
  155. <p>Pour l'instant, c'est l'adresse 127.0.1.1 qui est utilisée comme référence du nom, mais nous changerons ça dès que nous aurons configuré une adresse IPV4 et IPV6 fixe.</p>
  156. <h3 id="creation-de-notre-clef-personnalisee-sur-le-desktop-pas-sur-le-raspi">Création de notre clef personnalisée (sur le desktop, pas sur le raspi!)</h3>
  157. <p>Nous utiliserons la commande :</p>
  158. <pre><code>sh-keygen -o -a 100 -t ed25519 -f ~/.ssh/piras_ed25519 -C "clef SSH de l'utilisateur pi du Raspi"
  159. </code></pre>
  160. <ul>
  161. <li>-o : Sauvegarde votre clé dans le nouveau format openssh au lieu de l’ancien format PEM</li>
  162. <li>-C : insertion d'un commentaire (ce que vous voulez, votre adresse émail ...).</li>
  163. <li>-f : nom du fichier à produire</li>
  164. <li>-a : le nombre de tours de la clef de dérivation (plus il est élevé, plus il est difficile de la craquer en force brute, mais aussi plus c'est lent) <pre><code>eric@aldebaran:~$ ssh-keygen -o -a 100 -t ed25519 -f ~/.ssh/piras_ed25519 -C "eric@yojik.eu"
  165. Generating public/private ed25519 key pair.
  166. Enter passphrase (empty for no passphrase):
  167. Enter same passphrase again:
  168. Your identification has been saved in /home/eric/.ssh/piras_ed25519
  169. Your public key has been saved in /home/eric/.ssh/piras_ed25519.pub
  170. The key fingerprint is:
  171. SHA256:yyDsyczL9W1QTTn9d5o0hwZ5A0bdMnCJgK9cniCeR0c eric@yojik.eu
  172. The key's randomart image is:
  173. +--[ED25519 256]--+
  174. | ..o=O.o |
  175. | . E.B.O .|
  176. | o o + * |
  177. | . . o = . = =|
  178. | o..=SB . o =o|
  179. | = ooo=.o o |
  180. | * ..o. |
  181. | . o . .. |
  182. | o ... |
  183. +----[SHA256]-----+
  184. </code></pre>
  185. </li>
  186. </ul>
  187. <p>Si vous allez dans ./.ssh, vous trouverez ceci :</p>
  188. <pre><code>eric@aldebaran:~/.ssh$ ls -l
  189. total 44
  190. -rw------- 1 eric eric 751 7 avril 2011 id_dsa
  191. -rw-r--r-- 1 eric eric 604 7 avril 2011 id_dsa.pub
  192. -rw------- 1 eric eric 1766 1 avril 2013 id_rsa
  193. -rw-r--r-- 1 eric eric 396 1 avril 2013 id_rsa.pub
  194. -rw-r--r-- 1 eric eric 3728 29 nov. 12:20 known_hosts
  195. -rw------- 1 eric eric 444 11 déc. 18:17 piras_ed25519
  196. -rw-r--r-- 1 eric eric 95 11 déc. 18:17 piras_ed25519.pub
  197. eric@aldebaran:~/.ssh$
  198. </code></pre>
  199. <p>Nous voyons les clefs privées et publiques que nous avons créées. (ainsi que d'anciennes clefs ...) Vérifiez les permissions, mais normalement les commandes ci-dessus les attribuent comme attendu (voir plus bas).</p>
  200. <h3 id="copie-de-la-clef-sur-le-serveur">Copie de la clef sur le serveur</h3>
  201. <p>Nous utiliserons la commande : <strong>ssh-copy-id</strong></p>
  202. <pre><code>eric@aldebaran:~$ ssh-copy-id -i ~/.ssh/piras_ed25519.pub pi@192.168.111.32
  203. /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/eric/.ssh/piras_ed25519.pub"
  204. /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
  205. /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
  206. pi@192.168.111.32's password:
  207. Number of key(s) added: 1
  208. Now try logging into the machine, with: "ssh 'pi@192.168.111.32'"
  209. and check to make sure that only the key(s) you wanted were added.
  210. eric@aldebaran:~$
  211. </code></pre>
  212. <p>Vérifions la présence de notre clef sur notre raspi, dans le fichier authorized_keys :</p>
  213. <pre><code>pi@piras:~/.ssh $ cat authorized_keys
  214. ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIAdDDO3ni4DHIxqfRaNZ4SBudrSlRoQjLm/fd2SSjxtM eric@yojik.eu
  215. pi@piras:~/.ssh $
  216. </code></pre>
  217. <p>C'est bon, elle est là !</p>
  218. <h3 id="essai-de-connexion-avec-notre-nouvelle-clef">Essai de connexion avec notre nouvelle clef</h3>
  219. <pre><code>eric@aldebaran:~$ ssh -i ~/.ssh/piras_ed25519 'pi@192.168.111.32'
  220. Linux piras 5.4.51+ #1333 Mon Aug 10 16:38:02 BST 2020 armv6l
  221. The programs included with the Debian GNU/Linux system are free software;
  222. the exact distribution terms for each program are described in the
  223. individual files in /usr/share/doc/*/copyright.
  224. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
  225. permitted by applicable law.
  226. Last login: Fri Dec 11 18:46:55 2020 from 192.168.111.150
  227. pi@piras:~ $
  228. </code></pre>
  229. <p>ça marche ... j'ai précisé la clef <strong>SSH</strong> à utiliser avec l'option <strong>-i nom_de_la_clef</strong>.</p>
  230. <h3 id="configuration-de-ssh-sur-la-machine-de-travail">Configuration de ssh sur la machine de travail</h3>
  231. <p>Je possède plusieurs clefs qui sont spécifiques à certains serveurs (ceux dans ma cave, et ceux sur internet). Nous allons rajouter une configuration pour permettre la sélection automatique de la bonne clef pour chaque serveur.</p>
  232. <p>Cela se fait dans le fichier ~/.ssh/config</p>
  233. <p>Le schéma à utiliser est le suivant :</p>
  234. <pre><code>eric@aldebaran:~$ cat ./.ssh/config
  235. Host piras piras.yojik.net
  236. HostName 192.168.111.32
  237. IdentityFile ~/.ssh/piras_ed25519
  238. User pi
  239. Host adara adara.yojik.eu
  240. HostName adara.yojik.eu
  241. IdentityFile ~/.ssh/id_rsa
  242. User ericadmin
  243. eric@aldebaran:~$
  244. </code></pre>
  245. <p>Cela me permet de me connecter avec la commande :</p>
  246. <pre><code>ssh piras
  247. </code></pre>
  248. <p>Voilà à quoi ressemble mon répertoire <strong>~/.ssh</strong> :</p>
  249. <pre><code>eric@aldebaran:~$ tree .ssh
  250. .ssh
  251. ├── adara
  252. │   ├── adara_ed25519
  253. │   └── adara_ed25519.pub
  254. ├── aijan
  255. │   ├── aijan_ed25519
  256. │   └── aijan_ed25519.pub
  257. ├── alya
  258. │   ├── alya_ed25519
  259. │   └── alya_ed25519.pub
  260. ├── atom
  261. │   ├── atom_ed25519
  262. │   └── atom_ed25519.pub
  263. ├── config
  264. ├── id_dsa
  265. ├── id_dsa.pub
  266. ├── id_ed25519
  267. ├── id_ed25519.pub
  268. ├── id_rsa
  269. ├── id_rsa.pub
  270. ├── known_hosts
  271. ├── mynas2
  272. │   ├── mynas2_ed25519
  273. │   └── mynas2_ed25519.pub
  274. ├── mynas3
  275. │   ├── mynas3_ed25519
  276. │   └── mynas3_ed25519.pub
  277. ├── ns1
  278. │   ├── ns1_ed25519
  279. │   └── ns1_ed25519.pub
  280. ├── ns2
  281. │   ├── ns2_ed25519
  282. │   └── ns2_ed25519.pub
  283. ├── piras
  284. │   ├── piras_ed25519
  285. │   └── piras_ed25519.pub
  286. └── polis
  287. ├── polis_ed25519
  288. └── polis_ed25519.pub
  289. </code></pre>
  290. <p>J'ai mis l'adresse IP ; j'aurai pu mettre le nom FQDN du serveur, mais je le ferai une fois les adresses IP fixées.</p>
  291. <p>Modifions les permissions pour qu'elles soient conformes à ce que demande SSH. (en fait, les bonnes permissions étaient déjà appliquées par la commande ssh-keygen). Si vous organisez votre structure de répertoires comme ci-dessus, ajustez les permissions comme ceci :</p>
  292. <p>Si vous créez un répertoire nommé ~/.ssh/piras ajustez les droits du répertoire comme suit :</p>
  293. <pre><code>chmod 700 ~/.ssh/piras
  294. </code></pre>
  295. <p>Et pour les clefs privées/publiques :</p>
  296. <pre><code>chmod 600 ~/.ssh/config
  297. chmod 600 ~/.ssh/piras/piras_ed25519
  298. chmod 600 ~/.ssh/piras/piras_ed25519.pub
  299. </code></pre>
  300. <h3 id="test-de-connexion">Test de connexion</h3>
  301. <pre><code>eric@aldebaran:~$ ssh piras
  302. Linux piras 5.4.51+ #1333 Mon Aug 10 16:38:02 BST 2020 armv6l
  303. The programs included with the Debian GNU/Linux system are free software;
  304. the exact distribution terms for each program are described in the
  305. individual files in /usr/share/doc/*/copyright.
  306. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
  307. permitted by applicable law.
  308. Last login: Fri Dec 11 18:49:37 2020 from 192.168.111.150
  309. pi@piras:~ $
  310. </code></pre>
  311. <p>Ça marche ;)</p>
  312. <h3 id="amelioration">Amélioration</h3>
  313. <p>Nous allons modifier temporairement (et le re-modifierons une fois les adresses fixées) notre fichier /etc/hosts sur notre machine de travail pour pouvoir utiliser la méthode par nom plutôt que par adresse IP. Ajoutons la référence à notre raspi :</p>
  314. <pre><code>eric@aldebaran:~$ cat /etc/hosts
  315. 127.0.0.1 localhost
  316. 127.0.1.1 aldebaran.yojik.net aldebaran
  317. 192.168.111.32 piras.yojik.net piras
  318. # The following lines are desirable for IPv6 capable hosts
  319. ::1 localhost ip6-localhost ip6-loopback
  320. ff02::1 ip6-allnodes
  321. ff02::2 ip6-allrouters
  322. eric@aldebaran:~$
  323. </code></pre>
  324. <p>Modification de ./.ssh/config :</p>
  325. <pre><code>eric@aldebaran:~$ cat ./.ssh/config
  326. Host piras piras.yojik.net
  327. HostName piras.yojik.net
  328. IdentityFile ~/.ssh/piras_ed25519
  329. User pi
  330. Host adara adara.yojik.eu
  331. HostName adara.yojik.eu
  332. IdentityFile ~/.ssh/id_rsa
  333. User ericadmin
  334. eric@aldebaran:~$
  335. </code></pre>
  336. <p>Test :</p>
  337. <pre><code>eric@aldebaran:~$ ssh piras
  338. The authenticity of host 'piras.yojik.net (192.168.111.32)' can't be established.
  339. ECDSA key fingerprint is SHA256:DjB1teyxsYAZzGBV8BIXiG5+UAb3JU5SHp7vu/xArG8.
  340. Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
  341. Warning: Permanently added 'piras.yojik.net' (ECDSA) to the list of known hosts.
  342. Linux piras 5.4.51+ #1333 Mon Aug 10 16:38:02 BST 2020 armv6l
  343. The programs included with the Debian GNU/Linux system are free software;
  344. the exact distribution terms for each program are described in the
  345. individual files in /usr/share/doc/*/copyright.
  346. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
  347. permitted by applicable law.
  348. Last login: Fri Dec 11 19:17:50 2020 from 192.168.111.150
  349. pi@piras:~ $
  350. </code></pre>
  351. <p>L'adresse de notre raspi a été ajoutée au fichier ./.ssh/known_hosts</p>
  352. <h3 id="modification-du-fichier-etcsshsshd_config">Modification du fichier /etc/ssh/sshd_config</h3>
  353. <p>Nous allons modifier ce fichier pour plus de sécurité :</p>
  354. <ul>
  355. <li>pas de connexion de l'utilisateur root</li>
  356. <li>connexion uniquement par clef (pas par login/mot de passe)</li>
  357. <li>suppression du support des protocoles non sûrs</li>
  358. <li>autorisation de connexion sur liste blanche</li>
  359. <li>connexion en IPV4 et IPV6</li>
  360. </ul>
  361. <p>Tout d'abord, sauvegarde du répertoire <strong>/etc/ssh</strong> :</p>
  362. <pre><code>pi@raspberrypi:/etc $ sudo cp -R ssh ssh.orig
  363. pi@raspberrypi:/etc $
  364. </code></pre>
  365. <p>Ensuite, création du nouveau fichier (après installation de vim, mais vous pouvez prendre l'éditeur de votre choix, nano par exemple qui est installé par défaut):</p>
  366. <blockquote>
  367. <p>Pour installer vim, tapez : <strong>sudo apt install vim</strong></p>
  368. </blockquote>
  369. <p>Voilà une copie du fichier de conf du site <strong>troxyworld</strong> dont j'ai déjà donné les références :</p>
  370. <pre><code># Interface &amp; Port
  371. Port 61022
  372. AddressFamily any
  373. ListenAddress 0.0.0.0
  374. ListenAddress ::
  375. HostKey /etc/ssh/ssh_host_ed25519_key
  376. Protocol 2
  377. SyslogFacility AUTHPRIV
  378. LogLevel VERBOSE
  379. # Authentication restriction
  380. LoginGraceTime 30s
  381. PermitRootLogin no
  382. StrictModes yes
  383. MaxAuthTries 3
  384. MaxSessions 5
  385. PubkeyAuthentication yes
  386. AllowUsers hmichael
  387. AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
  388. HostbasedAuthentication no
  389. IgnoreRhosts yes
  390. # To disable tunneled clear text passwords, change to no here!
  391. PermitEmptyPasswords no
  392. PasswordAuthentication no
  393. # Change to no to disable s/key passwords
  394. ChallengeResponseAuthentication no
  395. UsePAM yes
  396. AllowAgentForwarding no
  397. AllowTcpForwarding no
  398. GatewayPorts no
  399. X11Forwarding no
  400. PermitTTY yes
  401. PermitUserEnvironment no
  402. PrintMotd no
  403. PrintLastLog no
  404. #TCPKeepAlive yes
  405. #PermitUserEnvironment no
  406. #Compression delayed
  407. #ClientAliveInterval 0
  408. #ClientAliveCountMax 3
  409. #ShowPatchLevel no
  410. UseDNS yes
  411. PidFile /var/run/sshd.pid
  412. MaxStartups 10:30:100
  413. PermitTunnel no
  414. #ChrootDirectory none
  415. VersionAddendum none
  416. # no default banner path
  417. Banner none
  418. # Accept locale-related environment variables
  419. AcceptEnv LANG LC_*
  420. # override default of no subsystems
  421. Subsystem sftp /usr/libexec/openssh/sftp-server
  422. </code></pre>
  423. <p>Et voici une version par <strong>Synthic</strong>:</p>
  424. <pre><code># Utilisation de la version 2 du protocole SSH
  425. Protocol 2
  426. # Utilisation du port 22. Il est possible de le modifier
  427. Port 22
  428. # Interdit à root de s'identifier
  429. PermitRootLogin no
  430. PermitEmptyPasswords no
  431. # On indique ici la liste des utilisateurs ayant la permission d'utiliser SSH
  432. AllowUsers utilisateur
  433. # Nombre d'essais avant fermeture de la connexion
  434. MaxAuthTries 3
  435. UsePAM no
  436. # Authentification par clés
  437. PubkeyAuthentication yes
  438. # Lieux où sont stockées les clés publiques --&gt; /home/user/.ssh/authorized_keys
  439. AuthorizedKeysFile .ssh/authorized_keys
  440. ChallengeResponseAuthentication yes
  441. # Désactivation de l'authentification par mot de passe
  442. PasswordAuthentication no
  443. IgnoreRhosts yes
  444. HostbasedAuthentication no
  445. AcceptEnv LANG LC_*
  446. Subsystem sftp /usr/lib/openssh/sftp-server
  447. PrintMotd no
  448. Ciphers aes256-ctr,aes192-ctr,aes128-ctr
  449. X11Forwarding no
  450. </code></pre>
  451. <p>Voilà mon fichier de configuration, à adapter suivant vos préférences (surtout n'oubliez pas d'ajuster le <strong>user</strong> dans l'option <strong>AllowUsers</strong> à votre cas particulier)</p>
  452. <p>Pour ma part, je vais garder le port 22 ; je le changerai peut-être plus tard.</p>
  453. <pre><code>Protocol 2
  454. Port 22
  455. </code></pre>
  456. <p>Blocage de root</p>
  457. <pre><code>PermitRootLogin no
  458. </code></pre>
  459. <p>Pas de mot de passe vide</p>
  460. <pre><code>PermitEmptyPasswords no
  461. </code></pre>
  462. <p>Seul l'utilisateur pi est autorisé</p>
  463. <pre><code>AllowUsers pi
  464. </code></pre>
  465. <p>Connexion uniquement pas clef</p>
  466. <pre><code>PubkeyAuthentication yes
  467. </code></pre>
  468. <p>Modification et limite des tentatives de connexion</p>
  469. <pre><code>LoginGraceTime 30s
  470. PermitRootLogin no
  471. StrictModes yes
  472. MaxAuthTries 3
  473. MaxSessions 5
  474. </code></pre>
  475. <p>Les fichiers de clef autorisés</p>
  476. <pre><code>AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
  477. </code></pre>
  478. <p>Voici la copie du fichier complet :</p>
  479. <pre><code>pi@raspberrypi:~ $ cat /etc/ssh/sshd_config
  480. # $OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $
  481. # This is the sshd server system-wide configuration file. See
  482. # sshd_config(5) for more information.
  483. # This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin
  484. # The strategy used for options in the default sshd_config shipped with
  485. # OpenSSH is to specify options with their default value where
  486. # possible, but leave them commented. Uncommented options override the
  487. # default value.
  488. Port 22
  489. #AddressFamily any
  490. # A décommenter après test sur sur site d'audit, car nos réglages ne permettent
  491. # que de se connecter à partir de notre réseau local
  492. # Si vous voulez que votre serveur soit accessible à partir de l'extérieur
  493. # gardez les valeurs par défaut (ou les options commentées)
  494. #ListenAddress 0.0.0.0
  495. #ListenAddress ::
  496. # Nouveaux réglages
  497. # ListenAddress 192.168.111.0
  498. # ListenAddress 2a01:e0a:d0:3c20::0
  499. # On ne permet que la connexion avec une clef forte
  500. #HostKey /etc/ssh/ssh_host_rsa_key
  501. #HostKey /etc/ssh/ssh_host_ecdsa_key
  502. HostKey /etc/ssh/ssh_host_ed25519_key
  503. # Ciphers and keying
  504. #RekeyLimit default none
  505. # Logging
  506. # Modification du niveau de logging pour plus de détails
  507. #SyslogFacility AUTH
  508. SysLogFacility AUTHPRIV
  509. #LogLevel INFO
  510. LogLevel VERBOSE
  511. # Authentication:
  512. # C'est ici que l'on va ne permettre que l'accès par clef partagée
  513. # et interdire l'accès par mot de passe
  514. # De plus on configure le nombre d'essais et le délai de connexion
  515. # à des valeurs plus courtes
  516. LoginGraceTime 30s
  517. PermitRootLogin no
  518. StrictModes yes
  519. MaxAuthTries 3
  520. MaxSessions 5
  521. PubkeyAuthentication yes
  522. # Ajout d'une liste blanche d'utilisateurs autorisés à se connecter
  523. # ici, seulement l'utilisateur pi
  524. AllowUsers pi
  525. # Expect .ssh/authorized_keys2 to be disregarded by default in future.
  526. AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
  527. #AuthorizedPrincipalsFile none
  528. #AuthorizedKeysCommand none
  529. #AuthorizedKeysCommandUser nobody
  530. # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
  531. #HostbasedAuthentication no
  532. # Change to yes if you don't trust ~/.ssh/known_hosts for
  533. # HostbasedAuthentication
  534. #IgnoreUserKnownHosts no
  535. # Don't read the user's ~/.rhosts and ~/.shosts files
  536. #IgnoreRhosts yes
  537. # To disable tunneled clear text passwords, change to no here!
  538. # Interdiction de connexion pas login/mot de passe
  539. PasswordAuthentication no
  540. # Interdiction de mot de passe vides
  541. PermitEmptyPasswords no
  542. # Change to yes to enable challenge-response passwords (beware issues with
  543. # some PAM modules and threads)
  544. ChallengeResponseAuthentication no
  545. # Kerberos options
  546. #KerberosAuthentication no
  547. #KerberosOrLocalPasswd yes
  548. #KerberosTicketCleanup yes
  549. #KerberosGetAFSToken no
  550. # GSSAPI options
  551. #GSSAPIAuthentication no
  552. #GSSAPICleanupCredentials yes
  553. #GSSAPIStrictAcceptorCheck yes
  554. #GSSAPIKeyExchange no
  555. # Set this to 'yes' to enable PAM authentication, account processing,
  556. # and session processing. If this is enabled, PAM authentication will
  557. # be allowed through the ChallengeResponseAuthentication and
  558. # PasswordAuthentication. Depending on your PAM configuration,
  559. # PAM authentication via ChallengeResponseAuthentication may bypass
  560. # the setting of "PermitRootLogin without-password".
  561. # If you just want the PAM account and session checks to run without
  562. # PAM authentication, then enable this but set PasswordAuthentication
  563. # and ChallengeResponseAuthentication to 'no'.
  564. UsePAM yes
  565. # On va interdire le forwarding
  566. AllowAgentForwarding no
  567. AllowTcpForwarding no
  568. GatewayPorts no
  569. X11Forwarding no
  570. #X11DisplayOffset 10
  571. #X11UseLocalhost yes
  572. #PermitTTY yes
  573. # Pas de message d'acceuil de SSHD
  574. PrintMotd no
  575. #PrintLastLog yes
  576. #TCPKeepAlive yes
  577. #PermitUserEnvironment no
  578. #Compression delayed
  579. #ClientAliveInterval 0
  580. #ClientAliveCountMax 3
  581. # Utilisation du DNS
  582. UseDNS yes
  583. #PidFile /var/run/sshd.pid
  584. #MaxStartups 10:30:100
  585. #PermitTunnel no
  586. #ChrootDirectory none
  587. #VersionAddendum none
  588. # no default banner path
  589. Banner none
  590. # Allow client to pass locale environment variables
  591. AcceptEnv LANG LC_*
  592. # override default of no subsystems
  593. Subsystem sftp /usr/lib/openssh/sftp-server
  594. # Example of overriding settings on a per-user basis
  595. #Match User anoncvs
  596. # X11Forwarding no
  597. # AllowTcpForwarding no
  598. # PermitTTY no
  599. # ForceCommand cvs server
  600. pi@raspberrypi:~ $
  601. </code></pre>
  602. <p>On redémarre <strong>sshd</strong></p>
  603. <pre><code>sudo systemctl restart sshd.service
  604. </code></pre>
  605. <p>On teste si le service a bien redémarré sans erreurs :</p>
  606. <pre><code>pi@raspberrypi:~ $ sudo systemctl status sshd.service
  607. ● ssh.service - OpenBSD Secure Shell server
  608. Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
  609. Active: active (running) since Sun 2021-02-14 14:59:47 CET; 7s ago
  610. Docs: man:sshd(8)
  611. man:sshd_config(5)
  612. Process: 523 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
  613. Main PID: 524 (sshd)
  614. Tasks: 1 (limit: 269)
  615. CGroup: /system.slice/ssh.service
  616. └─524 /usr/sbin/sshd -D
  617. févr. 14 14:59:46 raspberrypi systemd[1]: Starting OpenBSD Secure Shell server...
  618. févr. 14 14:59:46 raspberrypi sshd[524]: Server listening on 0.0.0.0 port 22.
  619. févr. 14 14:59:47 raspberrypi sshd[524]: Server listening on :: port 22.
  620. févr. 14 14:59:47 raspberrypi systemd[1]: Started OpenBSD Secure Shell server.
  621. pi@raspberrypi:~ $
  622. </code></pre>
  623. <p>C'est bon.</p>
  624. <p>Essai de connexion :</p>
  625. <pre><code>eric@aldebaran:~$ ssh piras
  626. The authenticity of host 'piras.yojik.net (192.168.111.170)' can't be established.
  627. ED25519 key fingerprint is SHA256:NW70QB3uNQ1cnrTQyfXG1Lu1iTDubEv6Oak4PK+DR1k.
  628. Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
  629. Warning: Permanently added 'piras.yojik.net,192.168.111.170' (ED25519) to the list of known hosts.
  630. Enter passphrase for key '/home/eric/.ssh/piras/piras_ed25519':
  631. Linux raspberrypi 5.10.11+ #1399 Thu Jan 28 12:02:28 GMT 2021 armv6l
  632. The programs included with the Debian GNU/Linux system are free software;
  633. the exact distribution terms for each program are described in the
  634. individual files in /usr/share/doc/*/copyright.
  635. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
  636. permitted by applicable law.
  637. Last login: Sun Feb 14 15:02:55 2021 from 192.168.111.150
  638. pi@raspberrypi:~ $
  639. </code></pre>
  640. <p>C'est bon.</p>
  641. <p>Test sur le site d'audit :</p>
  642. <p>Bien, après avoir effacé toutes les données personnelles de mon navigateur (données qui entraînent une erreur «The csrf token is invalid »), le test revient toujours avec une mauvaise note. D'où la suite. Les instructions pour améliorer sont également sur le site <a href="https://www.ssh-audit.com/hardening_guides.html#ubuntu_20_04_lts">SSH-Audit.com recommendations</a></p>
  643. <p>On va sécuriser les échanges en jouant sur 3 options supplémentaires :</p>
  644. <ul>
  645. <li>Ciphers : Le chiffrement utilisé.</li>
  646. <li>KexAlgorithms : Les algorithmes utilisés pour l’échange de clés.</li>
  647. <li>MACs : Message Authentication code, c’est le code qui accompagnent les données échangées dans le but d’assurer leur intégrité pour être certain qu’elles n’ont subies aucune altération pendant/après la transmission.</li>
  648. </ul>
  649. <p>Voilà les étapes à suivre (reprises quasi texto des sites déjà cités) :</p>
  650. <ul>
  651. <li>
  652. <p>Régénération de la clé ED25519 du serveur :</p>
  653. <pre><code>sudo rm -f /etc/ssh/ssh_host_*
  654. sudo ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key -N ""
  655. </code></pre>
  656. </li>
  657. <li>
  658. <p>Retrait des moduli Diffie-Hellman faible :</p>
  659. <pre><code>sudo awk '$5 &gt;= 3071' /etc/ssh/moduli &gt; /home/pi/moduli.safe
  660. sudo mv -f /home/pi/moduli.safe /etc/ssh/moduli
  661. </code></pre>
  662. </li>
  663. <li>
  664. <p>Désactivation des clés DSA/ECDSA &amp; RSA si ce n’est pas déjà fait :</p>
  665. <pre><code>sudo sed -i 's/^HostKey \/etc\/ssh\/ssh_host_\(dsa\|ecdsa\|rsa\)_key$/\#HostKey \/etc\/ssh\/ssh_host_\1_key/g' /etc/ssh/sshd_config
  666. </code></pre>
  667. </li>
  668. <li>
  669. <p>Restriction des ciphers, clés d’échange et des codes d’authentification :</p>
  670. <p>Ajoutez ceci à la fin du fichier /etc/sshd_config:</p>
  671. <pre><code>KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512
  672. Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
  673. MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com
  674. </code></pre>
  675. </li>
  676. <li>
  677. <p>Redémarrage de <strong>sshd</strong></p>
  678. <p>sudo systemctl restart sshd.service</p>
  679. </li>
  680. </ul>
  681. <h3 id="test-sur-le-site-ssh-audit">Test sur le site <a href="https://www.ssh-audit.com/">ssh audit</a></h3>
  682. <p>Tout est OK ... nous sommes passés d'une note <strong>F</strong> à <strong>A+</strong>.</p>
  683. <p><img alt="résultat" src="../Images/Capture%20d%E2%80%99%C3%A9cran%20de%202020-12-12%2009-00-03.png" /></p>
  684. <p><img alt="résultat" src="../Images/Capture%20d%E2%80%99%C3%A9cran%20de%202020-12-12%2009-00-17.png" /></p>
  685. <p><img alt="résultat" src="../Images/Capture%20d%E2%80%99%C3%A9cran%20de%202020-12-11%2014-37-34.png" /></p>
  686. <p><img alt="résultat" src="../Images/Capture%20d%E2%80%99%C3%A9cran%20de%202020-12-12%2009-00-24.png" /></p>
  687. <p><img alt="résultat" src="../Images/Capture%20d%E2%80%99%C3%A9cran%20de%202020-12-12%2009-00-33.png" /></p>
  688. <p><img alt="résultat" src="../Images/Capture%20d%E2%80%99%C3%A9cran%20de%202020-12-12%2009-00-42.png" /></p>
  689. <p><img alt="résultat" src="../Images/Capture%20d%E2%80%99%C3%A9cran%20de%202020-12-12%2009-00-49.png" /></p>
  690. </div>
  691. </div>
  692. <footer>
  693. <div class="rst-footer-buttons" role="navigation" aria-label="footer navigation">
  694. <a href="../R%C3%A9seau/" class="btn btn-neutral float-right" title="Réseau (des IPs fixes)">Next <span class="icon icon-circle-arrow-right"></span></a>
  695. <a href="../Etat-des-lieux/" class="btn btn-neutral" title="État des lieux"><span class="icon icon-circle-arrow-left"></span> Previous</a>
  696. </div>
  697. <hr/>
  698. <div role="contentinfo">
  699. <!-- Copyright etc -->
  700. </div>
  701. Built with <a href="https://www.mkdocs.org/">MkDocs</a> using a <a href="https://github.com/snide/sphinx_rtd_theme">theme</a> provided by <a href="https://readthedocs.org">Read the Docs</a>.
  702. </footer>
  703. </div>
  704. </div>
  705. </section>
  706. </div>
  707. <div class="rst-versions" role="note" aria-label="versions">
  708. <span class="rst-current-version" data-toggle="rst-current-version">
  709. <span><a href="../Etat-des-lieux/" style="color: #fcfcfc;">&laquo; Previous</a></span>
  710. <span style="margin-left: 15px"><a href="../R%C3%A9seau/" style="color: #fcfcfc">Next &raquo;</a></span>
  711. </span>
  712. </div>
  713. <script>var base_url = '..';</script>
  714. <script src="../js/theme.js" defer></script>
  715. <script src="../search/main.js" defer></script>
  716. <script defer>
  717. window.onload = function () {
  718. SphinxRtdTheme.Navigation.enable(true);
  719. };
  720. </script>
  721. </body>
  722. </html>