Introduction

Cette fiche opérationnelle décrit le paramétrage des serveurs (connexions rentrantes) et des clients (connexions sortantes) SSH selon la « politique de la maison ».

Nous supposons que les paquets logiciels ssh* sont déjà installés de façon standard, comme sur toute distribution Linux.

Il s'agit essentiellement de modifier les fichiers qui se trouvent sous /etc/ssh/, soit sshd_config pour la partie serveur et ssh_config pour la partie cliente.

choix de sécurité

Voici les points caractéristiques de la politique maison

En conséquence de ces choix, il est possible que les clients sortants ne puissent pas se connecter à d'autres serveurs plus anciens (Protocol 1 ou clef laxistes en Protocol 2), ce qui semble d'ailleurs souhaitable. Symétriquement, les clients entrants avec des clefs de type refusé devront en générer une nouvelle par ssh-keygen -t ed25519 -a 100 et/ou ssh-keygen -t ecdsa -b 521 -a 100

Paramétrage

Sur le serveur, à partir d'une connexion déjà ouverte en mode super-utilisateur root

Pour les clients sortants (de ce serveur)

F=/etc/ssh/ssh_config
cat >> $F <<EOD..........
    VerifyHostKeyDNS yes
    Ciphers chacha20-poly1305@openssh.com
    MACs hmac-sha2-512-etm@openssh.com
    KexAlgorithms curve25519-sha256@libssh.org
EOD..........
la première ligne demande une vérification par les enregistrements SSHFP du DNS de la clef du serveur appelé ; celle-ci reste informative et non bloquante.

Pour les clients entrants (sur ce serveur)

Ressources