Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
doc:reseau:ssh:serveur [03/09/2014 10:46] Hypathie [Sécurisation] ajout note |
doc:reseau:ssh:serveur [09/02/2021 19:11] captnfab |
||
---|---|---|---|
Ligne 2: | Ligne 2: | ||
* Objet : Installer un serveur ssh | * Objet : Installer un serveur ssh | ||
- | * Niveau requis : {{tag>avisé}} | + | * Niveau requis : {{tag>débutant}} |
* Commentaires : //Administrer son serveur à distance, établir un tunnel sécurisé pour relayer des ports, etc... // | * Commentaires : //Administrer son serveur à distance, établir un tunnel sécurisé pour relayer des ports, etc... // | ||
- | * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | + | * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !]] :-) |
- | * Suivi : {{tag>à-compléter à-tester}} | + | * Suivi : {{tag>à-compléter}} |
* Création par [[user>bendia]] le 07/01/2014 | * Création par [[user>bendia]] le 07/01/2014 | ||
- | * Testé par <...> le <...> | + | * Testé par [[user>captnfab]] le 09/02/2021 |
* Commentaires sur le forum : [[http://debian-facile.org/viewtopic.php?id=1583 | ici]]((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | * Commentaires sur le forum : [[http://debian-facile.org/viewtopic.php?id=1583 | ici]]((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | ||
- | |||
- | **Nota :** | ||
- | |||
- | Contributeurs, les FIXME sont là pour vous aider, supprimez-les une fois le problème corrigé ou le champ rempli ! | ||
===== Installation ===== | ===== Installation ===== | ||
+ | Un seul paquet à installer | ||
+ | <code root>apt install openssh-server</code> | ||
- | <code root>apt-get install openssh-server</code> | + | Le serveur SSH est automatiquement démarré après l'installation du paquet. |
===== Configuration ===== | ===== Configuration ===== | ||
- | La configuration par défaut est très bonne. \\ | + | La configuration par défaut est très bonne, et il n'est pas conseillé d'y toucher à moins de bien savoir ce que vous faites. |
Si vous voulez la personnaliser, il vous faut éditer le fichier ''/etc/ssh/sshd_config'' : | Si vous voulez la personnaliser, il vous faut éditer le fichier ''/etc/ssh/sshd_config'' : | ||
- | <code root>nano /etc/ssh/sshd_config</code> | + | <code root>editor /etc/ssh/sshd_config</code> |
Comme d'hab', plus d'infos dans le : | Comme d'hab', plus d'infos dans le : | ||
Ligne 29: | Ligne 28: | ||
===== Sécurisation ===== | ===== Sécurisation ===== | ||
- | Jojo vous recommande de ne pas ouvrir cette connection SSH tel quelle sur le net... il y a des malins qui forcent le passage pour entrer chez vous en essayant des tetra…floppées de mot de passes courants ;-). | + | Un serveur SSH permet a priori à un utilisateur extérieur de se connecter sur le système. Il y a deux méthodes pour s'authentifier auprès d'un serveur SSH |
+ | * avec le nom d'utilisateur et le mot de passe d'un compte sur la machine. | ||
+ | * avec le nom d'utilisateur et une paire de clefs privée/publique associée à un compte sur la machine | ||
- | Donc si vous voulez **exporter** une session SSH via un PC a 18 000 km :-D de chez vous, restez prudents et sécurisez-là au maximum(([[doc:systeme:securite | De la sécurité...]])) et en suivant les conseils suivants | + | La deuxième méthode est plus sûre que la première. |
- | ==== Restreindre les connexions à SSH ==== | + | <note warning>Il est important que n'importe qui ne puisse pas se connecter à votre système !</note> |
- | Il suffit d'éditer le fichier ''sshd_config'' en root sur le PC distant. Le fichier se trouve dans le dossier ///etc/ssh/// | + | Le serveur SSH écoute sur le port 22 du système, qui est accessible depuis le réseau local. |
- | <code root>nano /etc/ssh/sshd_config</code> | + | |
- | Puis de modifier les arguments suivant «le cas est pris pour une connexion __uniquement par clé__» : | + | |
- | <code bash>PermitRootLogin no # évite la connexion root « plus que recommandé » | + | * Si ce port n'est pas rendu accessible depuis l'extérieur, vous êtes tranquille car seuls les utilisateurs de votre réseaux peuvent essayer de se connecter (mais vous ne pouvez pas joindre votre machine depuis l'extérieur…). |
- | RSAAuthentication yes # active la reconnaissance RSA | + | * Si au contraire vous avez redirigé un port de votre box vers le port SSH de votre système, alors attention. Il y a des petits malins qui forcent le passage pour entrer chez vous en essayant des tetra…floppées de mots de passe et noms d'utilisateurs courants ;-). Dans ce dernier cas, vérifiez bien qu'aucun compte n'a de mot de passe simple, ou mieux encore, bloquez la possibilité de se connecter au serveur avec un mot de passe (voir plus bas). |
- | PubkeyAuthentication yes | + | |
- | AuthorizedKeysFile .ssh/authorized_keys # va uniquement chercher la clé sur ce fichier | + | Il peut être intéressant de relire les conseils généraux en matière de [[doc:systeme:securite | sécurité]] ! |
- | PasswordAuthentication no # désactive la connexion par mot de passe | + | |
- | PermitEmptyPasswords no # désactive les mots de passe vide | + | Voici quelques conseils de sécurisation spécifiques à OpenSSH : |
- | MaxStartups 1 # limite la connexion, normalement 6 par défaut | + | |
- | UsePAM no # désactive la connection par mot de passe | + | ==== Restreindre les connexions SSH ==== |
- | AllowUsers votrelogin secondlogin # restreint l'accès à votre login uniquement | + | |
- | DenyUsers test guest admin root snort apache nobody # interdire l'accès à certains users, pour les paranos... | + | Sur le système hébergeant le serveur SSH, il est possible d'éditer le fichier de configuration ''/etc/ssh/sshd_config'', par exemple avec la commande suivante lancée en root: |
- | </code> | + | <code root>editor /etc/ssh/sshd_config</code> |
+ | Les valeurs de configuration par défaut sont souvent présentées commentées (avec un ''#'' en début de ligne). | ||
+ | |||
+ | Voici quelques règles avec lesquelles il ne faut pas faire de blague. | ||
+ | |||
+ | === Connexion par root === | ||
+ | |||
+ | Il ne faut absolument pas autoriser root à se connecter par mot de passe, sauf à s'assurer d'avoir un mot de passe en béton armé((Au moins 30 caractères, majuscules, minuscules, chiffres, symboles, totalement aléatoire et changé régulièrement)). | ||
+ | |||
+ | Vous pouvez autoriser les connexions à root par paire de clefs publique/privée, c'est le comportement par défaut: ''PermitRootLogin prohibit-password'' ou complètement bloquer toutes les connexions: ''PermitRootLogin no'' | ||
+ | |||
+ | === Connexion par clefs === | ||
+ | |||
+ | Par défaut, la connexion par clefs est autorisée, c'est très bien et reste sans conséquence si vous n'utilisez pas cette possibilité. ''PubkeyAuthentication yes'' | ||
+ | |||
+ | Les clefs ssh des utilisateurs sont lues par défaut dans deux fichiers du dossier personnel des utilisateurs : ''~/.ssh/authorized_keys'' et ''~/.ssh/authorized_keys2'' (déconseillé). | ||
+ | Vous pouvez forcer l'utilisation unique du premier fichier avec ''AuthorizedKeysFile .ssh/authorized_keys''. | ||
+ | |||
+ | === Connexion par mot de passe === | ||
+ | Si vous voulez interdire la connexion par mot de passe (attention à être sûr de bien pouvoir vous connecter par clef avant…), vous pouvez désactiver cette possibilité avec ''PasswordAuthentication no'' et ''UsePAM no'' | ||
+ | |||
+ | Vérifiez que vous n'autorisez pas la connexion aux comptes dont le mot de passe est vide: ''PermitEmptyPasswords no'' | ||
<note> | <note> | ||
- | **Pour la ligne ''PasswordAuthentication no''** :\\ | + | **Pour le bloquage de la connexion par mot de passe :\\ |
Dans un premier temps, laisser **"# PasswordAuthentication yes"** pour permettre la première connexion depuis ssh client, c'est-à-dire pour permettre la connexion par [[doc:reseau:ssh:client#par-nom-d-utilisateur-mot-de-passe|nom d'utilisateur et mot de passe]] lorsque aucune clé n'a été générée.\\ | Dans un premier temps, laisser **"# PasswordAuthentication yes"** pour permettre la première connexion depuis ssh client, c'est-à-dire pour permettre la connexion par [[doc:reseau:ssh:client#par-nom-d-utilisateur-mot-de-passe|nom d'utilisateur et mot de passe]] lorsque aucune clé n'a été générée.\\ | ||
Ligne 58: | Ligne 78: | ||
Puis lorsque la génération [[doc:reseau:ssh:client#par-cles-asymetriques|des clés asymétriques]] a été faite et que celles-ci ont été exportées et sont opérationnelles (la "passphrase" uniquement est demandée pour la connexion du client ssh au serveur ssh), on peut alors éditer à nouveau **/etc/ssh/sshd_config** pour mettre **''PasswordAuthentication no''**</note> | Puis lorsque la génération [[doc:reseau:ssh:client#par-cles-asymetriques|des clés asymétriques]] a été faite et que celles-ci ont été exportées et sont opérationnelles (la "passphrase" uniquement est demandée pour la connexion du client ssh au serveur ssh), on peut alors éditer à nouveau **/etc/ssh/sshd_config** pour mettre **''PasswordAuthentication no''**</note> | ||
- | ==== Restreindre la connexion à un utilisateur ==== | + | === Restreindre l'accès à quelques utilisateurs === |
+ | Plutôt que de laisser possible la connexion à n'importe quel compte utilisateur (à condition d'avoir la clef ou le mot de passe), vous pouvez n'autoriser la connexion que pour certains comptes en spécifiant les noms d'utilisateur: | ||
- | Moins de monde autorisé à se connecter via ssh, moins de risques il y aura… | + | ''AllowUsers utilisateur1 utilisateur2'' |
- | AllowUsers **monuserquipeutseconnecter** | + | Ou inversement, en interdisant spécifiquement la connexion à certains comptes: |
- | Il est possible de spécifier plusieurs utilisateurs ou un masque d'expression régulière, je vous laisse lire la doc pour un paramétrage plus fin | + | ''DenyUsers test guest admin root snort apache nobody'' |
- | ==== Restreindre la connexion à un groupe ==== | + | Il est possible de spécifier plusieurs utilisateurs ou un masque d'expression régulière, je vous laisse lire la doc pour un paramétrage plus fin. |
- | dans le même esprit que le paramètre ci-dessus on peut autoriser directement tous les utilisateurs d'un groupe. | + | === Restreindre la connexion à un groupe === |
- | AllowGroups **mongroupadmin** | + | Dans le même esprit que le paramètre ci-dessus on peut autoriser directement tous les utilisateurs d'un groupe. |
- | Les options qu'il est conseillé de changer dans un premier temps sont : | + | |
- | ==== Le port ==== | + | <code bash>AllowGroups mongroupadmin</code> |
- | * Le port **22** # C'est le port par défaut du service SSH | + | === Le port === |
- | Nous allons le mettre ici à 10010 | + | |
- | Port **10010** | + | Si votre serveur SSH est exposé sur internet, il peut être pratique pour limiter le bruit (et dans une moindre mesure, augmenter la sécurité), de changer le port d'écoute de celui-ci. |
+ | |||
+ | On peut par exemple changer le port **22** (c'est le port par défaut du service SSH) pour le port 10010 | ||
+ | ''Port 10010'' | ||
Une fois configuré il vous suffit de relancer SSH, à faire en root : | Une fois configuré il vous suffit de relancer SSH, à faire en root : | ||
Ligne 99: | Ligne 122: | ||
==== Le port knocking ==== | ==== Le port knocking ==== | ||
- | TODO | + | TODO FIXME |
===== Astuces ===== | ===== Astuces ===== | ||
Ligne 105: | Ligne 128: | ||
==== Accès depuis l'extérieur ==== | ==== Accès depuis l'extérieur ==== | ||
* Rediriger le port 22 de la freebox/livebox/whateverbox vers votre machine pour vous connecter chez vous depuis l'extérieur | * Rediriger le port 22 de la freebox/livebox/whateverbox vers votre machine pour vous connecter chez vous depuis l'extérieur | ||
- | TODO | + | TODO FIXME |
==== Serveur de fichier sftp ==== | ==== Serveur de fichier sftp ==== | ||
- | * Configuration de SSH comme serveur de fichier. | + | |
- | TODO | + | Pour limiter SSH au partage de fichiers, voir [[:doc:reseau:ssh:tp-sftp-via-openssh-server|Configuration d'OpenSSH comme serveur SFTP]] |