Outils personnels

Sécurisation sshd : Différence entre versions

De wikiGite

 
(9 révisions intermédiaires par 2 utilisateurs non affichées)
Ligne 1 : Ligne 1 :
Limiter les connexions SSH aux utilisateurs appartenant au groupe ssh.
+
Limiter les connexions SSH aux utilisateurs appartenant au groupe wheel.
  
 
au minimum : root, <un_autre_utilisateur_autorisé> (ex : admin sur BlueQuartz) à ajouter au groupe.
 
au minimum : root, <un_autre_utilisateur_autorisé> (ex : admin sur BlueQuartz) à ajouter au groupe.
Ligne 5 : Ligne 5 :
 
Modif /etc/ssh/sshd_config :
 
Modif /etc/ssh/sshd_config :
 
  PermitRootLogin without-password #(root ne peut se connecter qu'avec la clé SHA)
 
  PermitRootLogin without-password #(root ne peut se connecter qu'avec la clé SHA)
  AllowGroups ssh
+
  AllowGroups wheel
 +
'''NOTE :''' penser à ajouter root au group wheel !
  
 
On peut ajouter ça pour augmenter le time-out avant déconnexion sur inactivité :
 
On peut ajouter ça pour augmenter le time-out avant déconnexion sur inactivité :
 
  ClientAliveInterval 1
 
  ClientAliveInterval 1
  ClientAliveCountMax 3
+
  ClientAliveCountMax 30
 +
 
 +
Si la connexion au serveur est très longue, on peut forcer ce paramètre dans sshd_config :
 +
UseDNS no
 +
Et si ça ne suffit pas, essayer aussi :
 +
GSSAPIAuthentication no
  
 
Copier la clé SHA du poste local (~/.ssh/id_dsa.pub) dans /root/.ssh/authorized_keys sur le serveur, soit par copier/coller dans un terminal X, soit par :
 
Copier la clé SHA du poste local (~/.ssh/id_dsa.pub) dans /root/.ssh/authorized_keys sur le serveur, soit par copier/coller dans un terminal X, soit par :
  ssh-copy-id -i ~/.ssh/id_dsa.pub [-p port] user@machine
+
  ssh-copy-id -i ~/.ssh/id_dsa.pub [-p port] utilisateur@serveur
 +
"utilisateur" est le compte sur "serveur" dont le fichier authorized_keys doit être modifié (le destinataire des futurs ssh)<br/>
 
-p port sert si ssh est bindé sur un autre port que le 22.
 
-p port sert si ssh est bindé sur un autre port que le 22.
 +
 +
 +
<u>Remarque</u> :
 +
 +
Si le répertoire .ssh n'existe pas, il faut le créer et lui appliquer les droits 700
 +
 +
Il faut ensuite créer le fichier authorized_keys et lui appliquer les droits 600

Version actuelle datée du 23 juillet 2013 à 11:58

Limiter les connexions SSH aux utilisateurs appartenant au groupe wheel.

au minimum : root, <un_autre_utilisateur_autorisé> (ex : admin sur BlueQuartz) à ajouter au groupe.

Modif /etc/ssh/sshd_config :

PermitRootLogin without-password #(root ne peut se connecter qu'avec la clé SHA)
AllowGroups wheel

NOTE : penser à ajouter root au group wheel !

On peut ajouter ça pour augmenter le time-out avant déconnexion sur inactivité :

ClientAliveInterval 1
ClientAliveCountMax 30

Si la connexion au serveur est très longue, on peut forcer ce paramètre dans sshd_config :

UseDNS no

Et si ça ne suffit pas, essayer aussi :

GSSAPIAuthentication no

Copier la clé SHA du poste local (~/.ssh/id_dsa.pub) dans /root/.ssh/authorized_keys sur le serveur, soit par copier/coller dans un terminal X, soit par :

ssh-copy-id -i ~/.ssh/id_dsa.pub [-p port] utilisateur@serveur

"utilisateur" est le compte sur "serveur" dont le fichier authorized_keys doit être modifié (le destinataire des futurs ssh)
-p port sert si ssh est bindé sur un autre port que le 22.


Remarque :

Si le répertoire .ssh n'existe pas, il faut le créer et lui appliquer les droits 700

Il faut ensuite créer le fichier authorized_keys et lui appliquer les droits 600