[Sécurité] (SSH ou pas etc)

Questions et astuces concernant l'installation et la configuration d'archlinux
Avatar de l’utilisateur
chris35
archer de cavalerie
Messages : 175
Inscription : mar. 25 mars 2014, 19:18

[Sécurité] (SSH ou pas etc)

Message par chris35 »

Bonjour !
je cherche à sécuriser mon installation.
je n’utilise pas AUR pour le moment, pas d'utilité jusqu'ici puisque tout ce dont j'ai besoin se trouve dans les dépôts "officiels" de base.
Je sais pertinemment que la meilleure sécurité c'est d'abord une règle d'utilisation à appliquer à soi même : ne pas aller sur des sites "dangereux", cliquer sur des liens dans des mails etc..
J'ai juste installé pour l'instant UFW, configuré avec les classiques
sudo ufw default deny incoming
sudo ufw default allow outgoing

j'ai également, et ça je ne sais pas si c'est une bonne chose, créé cette règle ; sudo ufw allow ssh

status et verbose me montrent bien que tout est opérationel au boot :
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To Action From
-- ------ ----
22 ALLOW IN Anywhere
22 (v6) ALLOW IN Anywhere (v6)

Ces règles sont elles correctes, suffisantes ?
Merci pour vos commentaires.
Archlinux 64 | KDE | i7 9700K-16GO | Samsung SSD 970 EVO M.2 PCIe NVMe
laurent85
Elfe
Messages : 951
Inscription : mar. 16 oct. 2018, 21:05

Re: [Sécurité] (SSH ou pas etc)

Message par laurent85 »

Bonjour,
C'est correct, et pour la configuration de ssh autoriser uniquement l'authentification par clé publique.
Avatar de l’utilisateur
chris35
archer de cavalerie
Messages : 175
Inscription : mar. 25 mars 2014, 19:18

Re: [Sécurité] (SSH ou pas etc)

Message par chris35 »

Bonjour Laurent, merci beaucoup, saurais m’aiguiller vers un quelconque tuto pour réaliser ceci ?
Archlinux 64 | KDE | i7 9700K-16GO | Samsung SSD 970 EVO M.2 PCIe NVMe
laurent85
Elfe
Messages : 951
Inscription : mar. 16 oct. 2018, 21:05

Re: [Sécurité] (SSH ou pas etc)

Message par laurent85 »

Consulte le wiki. Je te donne un exemple.

Sur le client:
génération d'une paire de clé publique/privée

Code : Tout sélectionner

live@archiso ~ % ssh-keygen 
Generating public/private rsa key pair.
Enter file in which to save the key (/home/live/.ssh/id_rsa): 
Created directory '/home/live/.ssh'.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/live/.ssh/id_rsa
Your public key has been saved in /home/live/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:tAzYRbkz6jCujFZhGf2unKNIKoeCYTzh7nHxFoVFzj4 live@archiso
The key's randomart image is:
+---[RSA 3072]----+
|    . .+o.       |
|   . +=..        |
|    +.++..       |
| . +  o=+.       |
|o o....ESo       |
|.= .= o..        |
|+=oo.*o          |
|B== o=.          |
|B+oo. .          |
+----[SHA256]-----+


live@archiso ~ % la ~/.ssh
total 8
drwx------ 2 live live   80 Jul 22 11:25 .
drwx------ 1 live live  400 Jul 22 11:25 ..
-rw------- 1 live live 2655 Jul 22 11:25 id_rsa
-rw-r--r-- 1 live live  566 Jul 22 11:25 id_rsa.pub
Attention la clé privée id_rsa est secrète et ne doit pas être partagée !

La clé publique à communiquer (à installer sur le serveur):

Code : Tout sélectionner

live@archiso ~ % cat ~/.ssh/id_rsa.pub                       
ssh-rsa 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 live@archiso

Sur le serveur :

La configuration de sshd_config, les endroits où changer les paramètres.

Code : Tout sélectionner

# Authentication:

#LoginGraceTime 2m
PermitRootLogin prohibit-password
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10


# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
ChallengeResponseAuthentication no
Ajouter la clé publique dans le fichier .ssh/authorized_keys du compte utilisateur, ce fichier contient la liste des clés publiques autorisées. Et mettre les permissions du fichier à 600 :

Code : Tout sélectionner

cat ~/.ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDNdioAqKnlfheNx+V+PYE09d6dkVxnhVfxLvaMihMrcnL9uNwPk+aVkTIDLL4+e7lGaW9Rp/vSJZFzOCqSC0ZSpm6En1Zc4C1rvpJHAIf6ZW99m1XIp7ylczoDbs2cLBMlEB0l1PupWEaMdn8pTXsyBzc/3QuhCIzFPYBo9DtRe4NJIETk0mB0xv3Fc29OT6g0ojdN5jH1zmAB2NchTeDiixOUI6bIPccVj8o/r6rT6dk5i1G8mqqXT+Fbgi/a6lo4kw8jYic+/K5mo47Q5ZNAwpf6DVbengaMir3QF3S5l9YTK0kq0xOkXWDQRDb0o74gXYDYRcMDBeJKx5wvtPlgYJTuOr6HKLfWYKLceRnPKLLqrpOdDoj29poWQF1q6Kw5zX54Ef4XF3bi4SbUl+w8rcWvlK9SFH84SLrgSHyHaVR99t6+FqynVpDCLGNZWlZvZJ3hWfqwNmQM3IcjWCLxvYYe9zTwMx7F6vkFVVEiqr8iaOBo+O41UeZDTEhN4AU= live@archiso
chmod 600 ~/.ssh/authorized_keys
Ensuite pour se connecter du client au serveur la commande ssh demandera le mot de passe de la clé privée. Sans la clé privée impossible de se connecter au serveur.
Avatar de l’utilisateur
chris35
archer de cavalerie
Messages : 175
Inscription : mar. 25 mars 2014, 19:18

Re: [Sécurité] (SSH ou pas etc)

Message par chris35 »

Merci beaucoup pour ton aide, je vais faire ça.
Archlinux 64 | KDE | i7 9700K-16GO | Samsung SSD 970 EVO M.2 PCIe NVMe
Répondre