Coup de gueule partagé sur mon wiki concernant l'administration de debian-fr.xyz : https://wiki.visionduweb.fr/index.php?title=Coup_de_gueule
La raison du coup de gueule est la suppression de ma
contribution, et, mon bannissement du wiki et du forum, pour avoir
partagé ceci sur le wiki de debian-fr.xyz :
Un exemple complet et commenté pour configurer un serveur SSH :
################################ # Configuration du Serveur SSH # ################################ # Le Protocole 2 est mieux sécurisé : Protocol 2 # Port à utiliser : Port 22 # Clé publique du serveur à utiliser pour identifier le serveur : # HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_ed25519_key ###################################### ###################################### # Oblige l'authentification par clé SSH : # Valeur commentée par défaut ! AuthenticationMethods publickey # Interdire l'authentification par mot de passe : PasswordAuthentication no # Interdire les mots de passe vide : PermitEmptyPasswords no # Autoriser la connexion pour les utilisateurs suivants : AllowUsers user1 user2 user3 user4 # Choix de connexion pour l'utilisateur root sur le serveur SSH : PermitRootLogin no # Interdire certains utilisateurs : DenyUsers root ###################################### ###################################### # Durée maximum autorisée pour établir la connexion : LoginGraceTime 25s # Limiter a un nombre maximum les tentatives de connexions SSH non authentifiée : MaxStartups 3:50:5 # Maximum de 3 essais pour renseigner la passe phrase : MaxAuthTries 3 # Maximum de 3 sessions ouvertes en même temps : MaxSessions 3 # Autorise l'authentification par clé SSH : PubkeyAuthentication yes # Clés publiques autorisées pour établir une connexion : AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2 # Interdire la prise en compte des fichiers de configuration des commandes r avec SSH : IgnoreRhosts yes # Le serveur d'authentification challenge-response PAM n'est pas configuré par défaut : ChallengeResponseAuthentication no # PAM fournit la gestion des sessions et des comptes ! UsePAM yes # Refuser l'export display : X11Forwarding no # La valeur no désactive complètement l'impression de motd. PrintMotd yes # Refuser l'authentification basée sur les DNS : UseDNS no # Refuser l'authentification basée sur l'hôte : HostbasedAuthentication no # Permet au client de définir des variables d'environnement dès l'établissement de la connexion : AcceptEnv LANG LC_* # Loguer les tentatives de connexions dans /var/log/auth.log en ajoutant la ligne suivante : SyslogFacility AUTH # Permet d'avoir une trace d'audit claire de la clé utilisée pour se connecter : LogLevel VERBOSE # Journaliser les accès aux fichiers de niveau sftp qui ne seraient pas journalisés autrement : # Subsystem sftp /usr/lib/openssh/sftp-server Subsystem sftp /usr/lib/openssh/sftp-server -f AUTHPRIV -l INFO # Définir un temps limite d'inactivité pour forcer la déconnexion : ClientAliveInterval 900 # Concerne le nombre maximal de requêtes : ClientAliveCountMax 0 # Vérifie les modes et le propriétaire des fichiers et du répertoire home de l'utilisateur avant de se connecter : StrictModes yes # La mort de la connexion ou le crash de la machines sera remarqué pour mettre fin à la connexion : TCPKeepAlive yes # Afficher un message pour l'utilisateur suite à une demande de connexion : Banner /etc/issue # En règle général les entreprises préfèrent désactiver le Port Forwarding pour éviter la fuite d'informations : AllowTcpForwarding no # Spécifie si le transfert de sockets de domaine Unix est autorisé : AllowStreamLocalForwarding no # Spécifie si les hôtes distants sont autorisés à se connecter aux ports transférés pour le client : GatewayPorts no # Spécifie si le transfert de périphérique est autorisé : PermitTunnel no # Spécifie les destinations vers lesquelles le transfert de port TCP est autorisé : PermitOpen any # Spécifier les algorithmes KEX (échange de clés) disponibles : KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 # Spécifier les ciphers autorisés : Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr # Spécifier les algorithmes MAC (Message authentication code) : MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com Ainsi que la référence vers mon wiki, dans la bibliographie : https://wiki.visionduweb.fr/index.php?title=SSH