Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ceci est une ancienne révision du document !
Nota :
Contributeurs, les sont là pour vous aider, supprimez-les une fois le problème corrigé ou le champ rempli !
apt-get update && apt-get install openssh-server
La configuration par défaut est très bonne.
Si vous voulez la personnaliser, il vous faut éditer le fichier /etc/ssh/sshd_config
:
nano /etc/ssh/sshd_config
Comme d'hab', plus d'infos dans le :
man sshd_config
Jojo vous recommande de ne pas ouvrir cette connection SSH tel quelle sur le net… il y a des malins qui forcent le passage pour entrer chez vous en essayant des tetra…floppées de mots de passe courants .
Donc si vous voulez exporter une session SSH via un PC a 18 000 km de chez vous, restez prudents et sécurisez-la au maximum2) et en suivant les conseils suivants
Il suffit d'éditer le fichier sshd_config
en root sur le PC distant. Le fichier se trouve dans le dossier /etc/ssh/
nano /etc/ssh/sshd_config
Puis de modifier les arguments suivants (le cas est pris pour une connexion uniquement par clé) :
PermitRootLogin no # évite la connexion root « plus que recommandé » RSAAuthentication yes # active la reconnaissance RSA PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys # va uniquement chercher la clé sur ce fichier PasswordAuthentication no # désactive la connexion par mot de passe PermitEmptyPasswords no # désactive les mots de passe vide MaxStartups 1 # limite la connexion, normalement 6 par défaut UsePAM no # désactive la connection par mot de passe AllowUsers votrelogin secondlogin # restreint l'accès à votre login uniquement DenyUsers test guest admin root snort apache nobody # interdire l'accès à certains users, pour les paranos...
PasswordAuthentication no
:
Dans un premier temps, laisser “# PasswordAuthentication yes” pour permettre la première connexion depuis ssh client, c'est-à-dire pour permettre la connexion par nom d'utilisateur et mot de passe lorsque aucune clé n'a été générée.
Puis lorsque la génération des clés asymétriques a été faite et que celles-ci ont été exportées et sont opérationnelles (la “passphrase” uniquement est demandée pour la connexion du client ssh au serveur ssh), on peut alors éditer à nouveau /etc/ssh/sshd_config pour mettre PasswordAuthentication no
Moins de monde autorisé à se connecter via ssh, moins de risques il y aura…
AllowUsers monuserquipeutseconnecter
Il est possible de spécifier plusieurs utilisateurs ou un masque d'expression régulière, je vous laisse lire la doc pour un paramétrage plus fin
dans le même esprit que le paramètre ci-dessus on peut autoriser directement tous les utilisateurs d'un groupe.
AllowGroups mongroupadmin
Les options qu'il est conseillé de changer dans un premier temps sont :
Nous allons le mettre ici à 10010
Port 10010
Une fois configuré il vous suffit de relancer SSH, à faire en root :
service ssh restart
cat /var/log/auth.log | grep Invalid
apt-get install fail2ban
TODO
TODO
TODO