Sécurisation sshd : Différence entre versions
De wikiGite
(6 révisions intermédiaires par 2 utilisateurs non affichées) | |||
Ligne 6 : | Ligne 6 : | ||
PermitRootLogin without-password #(root ne peut se connecter qu'avec la clé SHA) | PermitRootLogin without-password #(root ne peut se connecter qu'avec la clé SHA) | ||
AllowGroups wheel | AllowGroups wheel | ||
+ | '''NOTE :''' penser à ajouter root au group wheel ! | ||
On peut ajouter ça pour augmenter le time-out avant déconnexion sur inactivité : | On peut ajouter ça pour augmenter le time-out avant déconnexion sur inactivité : | ||
ClientAliveInterval 1 | ClientAliveInterval 1 | ||
− | ClientAliveCountMax | + | ClientAliveCountMax 30 |
− | Si la connexion au serveur est très longue, on peut forcer | + | Si la connexion au serveur est très longue, on peut forcer ce paramètre dans sshd_config : |
+ | UseDNS no | ||
+ | Et si ça ne suffit pas, essayer aussi : | ||
GSSAPIAuthentication no | GSSAPIAuthentication no | ||
− | |||
Copier la clé SHA du poste local (~/.ssh/id_dsa.pub) dans /root/.ssh/authorized_keys sur le serveur, soit par copier/coller dans un terminal X, soit par : | Copier la clé SHA du poste local (~/.ssh/id_dsa.pub) dans /root/.ssh/authorized_keys sur le serveur, soit par copier/coller dans un terminal X, soit par : | ||
Ligne 19 : | Ligne 21 : | ||
"utilisateur" est le compte sur "serveur" dont le fichier authorized_keys doit être modifié (le destinataire des futurs ssh)<br/> | "utilisateur" est le compte sur "serveur" dont le fichier authorized_keys doit être modifié (le destinataire des futurs ssh)<br/> | ||
-p port sert si ssh est bindé sur un autre port que le 22. | -p port sert si ssh est bindé sur un autre port que le 22. | ||
+ | |||
+ | |||
+ | <u>Remarque</u> : | ||
+ | |||
+ | Si le répertoire .ssh n'existe pas, il faut le créer et lui appliquer les droits 700 | ||
+ | |||
+ | Il faut ensuite créer le fichier authorized_keys et lui appliquer les droits 600 |
Version actuelle datée du 23 juillet 2013 à 11:58
Limiter les connexions SSH aux utilisateurs appartenant au groupe wheel.
au minimum : root, <un_autre_utilisateur_autorisé> (ex : admin sur BlueQuartz) à ajouter au groupe.
Modif /etc/ssh/sshd_config :
PermitRootLogin without-password #(root ne peut se connecter qu'avec la clé SHA) AllowGroups wheel
NOTE : penser à ajouter root au group wheel !
On peut ajouter ça pour augmenter le time-out avant déconnexion sur inactivité :
ClientAliveInterval 1 ClientAliveCountMax 30
Si la connexion au serveur est très longue, on peut forcer ce paramètre dans sshd_config :
UseDNS no
Et si ça ne suffit pas, essayer aussi :
GSSAPIAuthentication no
Copier la clé SHA du poste local (~/.ssh/id_dsa.pub) dans /root/.ssh/authorized_keys sur le serveur, soit par copier/coller dans un terminal X, soit par :
ssh-copy-id -i ~/.ssh/id_dsa.pub [-p port] utilisateur@serveur
"utilisateur" est le compte sur "serveur" dont le fichier authorized_keys doit être modifié (le destinataire des futurs ssh)
-p port sert si ssh est bindé sur un autre port que le 22.
Remarque :
Si le répertoire .ssh n'existe pas, il faut le créer et lui appliquer les droits 700
Il faut ensuite créer le fichier authorized_keys et lui appliquer les droits 600