[Sécurité] (SSH ou pas etc)
[Sécurité] (SSH ou pas etc)
Bonjour !
je cherche à sécuriser mon installation.
je n’utilise pas AUR pour le moment, pas d'utilité jusqu'ici puisque tout ce dont j'ai besoin se trouve dans les dépôts "officiels" de base.
Je sais pertinemment que la meilleure sécurité c'est d'abord une règle d'utilisation à appliquer à soi même : ne pas aller sur des sites "dangereux", cliquer sur des liens dans des mails etc..
J'ai juste installé pour l'instant UFW, configuré avec les classiques
sudo ufw default deny incoming
sudo ufw default allow outgoing
j'ai également, et ça je ne sais pas si c'est une bonne chose, créé cette règle ; sudo ufw allow ssh
status et verbose me montrent bien que tout est opérationel au boot :
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
22 ALLOW IN Anywhere
22 (v6) ALLOW IN Anywhere (v6)
Ces règles sont elles correctes, suffisantes ?
Merci pour vos commentaires.
je cherche à sécuriser mon installation.
je n’utilise pas AUR pour le moment, pas d'utilité jusqu'ici puisque tout ce dont j'ai besoin se trouve dans les dépôts "officiels" de base.
Je sais pertinemment que la meilleure sécurité c'est d'abord une règle d'utilisation à appliquer à soi même : ne pas aller sur des sites "dangereux", cliquer sur des liens dans des mails etc..
J'ai juste installé pour l'instant UFW, configuré avec les classiques
sudo ufw default deny incoming
sudo ufw default allow outgoing
j'ai également, et ça je ne sais pas si c'est une bonne chose, créé cette règle ; sudo ufw allow ssh
status et verbose me montrent bien que tout est opérationel au boot :
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
22 ALLOW IN Anywhere
22 (v6) ALLOW IN Anywhere (v6)
Ces règles sont elles correctes, suffisantes ?
Merci pour vos commentaires.
Archlinux 64 | KDE | i7 9700K-16GO | Samsung SSD 970 EVO M.2 PCIe NVMe
Re: [Sécurité] (SSH ou pas etc)
Bonjour,
C'est correct, et pour la configuration de ssh autoriser uniquement l'authentification par clé publique.
C'est correct, et pour la configuration de ssh autoriser uniquement l'authentification par clé publique.
Re: [Sécurité] (SSH ou pas etc)
Bonjour Laurent, merci beaucoup, saurais m’aiguiller vers un quelconque tuto pour réaliser ceci ?
Archlinux 64 | KDE | i7 9700K-16GO | Samsung SSD 970 EVO M.2 PCIe NVMe
Re: [Sécurité] (SSH ou pas etc)
Consulte le wiki. Je te donne un exemple.
Sur le client:
génération d'une paire de clé publique/privée
Attention la clé privée id_rsa est secrète et ne doit pas être partagée !
La clé publique à communiquer (à installer sur le serveur):
Sur le serveur :
La configuration de sshd_config, les endroits où changer les paramètres.
Ajouter la clé publique dans le fichier .ssh/authorized_keys du compte utilisateur, ce fichier contient la liste des clés publiques autorisées. Et mettre les permissions du fichier à 600 :
Ensuite pour se connecter du client au serveur la commande ssh demandera le mot de passe de la clé privée. Sans la clé privée impossible de se connecter au serveur.
Sur le client:
génération d'une paire de clé publique/privée
Code : Tout sélectionner
live@archiso ~ % ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/live/.ssh/id_rsa):
Created directory '/home/live/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/live/.ssh/id_rsa
Your public key has been saved in /home/live/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:tAzYRbkz6jCujFZhGf2unKNIKoeCYTzh7nHxFoVFzj4 live@archiso
The key's randomart image is:
+---[RSA 3072]----+
| . .+o. |
| . +=.. |
| +.++.. |
| . + o=+. |
|o o....ESo |
|.= .= o.. |
|+=oo.*o |
|B== o=. |
|B+oo. . |
+----[SHA256]-----+
live@archiso ~ % la ~/.ssh
total 8
drwx------ 2 live live 80 Jul 22 11:25 .
drwx------ 1 live live 400 Jul 22 11:25 ..
-rw------- 1 live live 2655 Jul 22 11:25 id_rsa
-rw-r--r-- 1 live live 566 Jul 22 11:25 id_rsa.pub
La clé publique à communiquer (à installer sur le serveur):
Code : Tout sélectionner
live@archiso ~ % cat ~/.ssh/id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDNdioAqKnlfheNx+V+PYE09d6dkVxnhVfxLvaMihMrcnL9uNwPk+aVkTIDLL4+e7lGaW9Rp/vSJZFzOCqSC0ZSpm6En1Zc4C1rvpJHAIf6ZW99m1XIp7ylczoDbs2cLBMlEB0l1PupWEaMdn8pTXsyBzc/3QuhCIzFPYBo9DtRe4NJIETk0mB0xv3Fc29OT6g0ojdN5jH1zmAB2NchTeDiixOUI6bIPccVj8o/r6rT6dk5i1G8mqqXT+Fbgi/a6lo4kw8jYic+/K5mo47Q5ZNAwpf6DVbengaMir3QF3S5l9YTK0kq0xOkXWDQRDb0o74gXYDYRcMDBeJKx5wvtPlgYJTuOr6HKLfWYKLceRnPKLLqrpOdDoj29poWQF1q6Kw5zX54Ef4XF3bi4SbUl+w8rcWvlK9SFH84SLrgSHyHaVR99t6+FqynVpDCLGNZWlZvZJ3hWfqwNmQM3IcjWCLxvYYe9zTwMx7F6vkFVVEiqr8iaOBo+O41UeZDTEhN4AU= live@archiso
Sur le serveur :
La configuration de sshd_config, les endroits où changer les paramètres.
Code : Tout sélectionner
# Authentication:
#LoginGraceTime 2m
PermitRootLogin prohibit-password
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
#PermitEmptyPasswords no
# Change to no to disable s/key passwords
ChallengeResponseAuthentication no
Code : Tout sélectionner
cat ~/.ssh/authorized_keys
ssh-rsa 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 live@archiso
chmod 600 ~/.ssh/authorized_keys
Re: [Sécurité] (SSH ou pas etc)
Merci beaucoup pour ton aide, je vais faire ça.
Archlinux 64 | KDE | i7 9700K-16GO | Samsung SSD 970 EVO M.2 PCIe NVMe