Mazarini

Outils pour utilisateurs

Outils du site

Piste :
sshd

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
sshd [2015/04/05 19:09] – [Configuration initiale] pascalsshd [2023/07/04 10:55] (Version actuelle) – modification externe 127.0.0.1
Ligne 8: Ligne 8:
  
 ===== Configuration /etc/ssh/sshd_config ===== ===== Configuration /etc/ssh/sshd_config =====
-==== Configuration initiale ====+==== X11Forwarding ====
 <file> <file>
-# Package generated configuration file +X11Forwarding no 
-See the sshd_config(5manpage for details+</file> 
 +Dans la mesure on le serveur n'utilisera pas X11, passer ce paramètre de "yes" à "no"
 +==== AllowGroups ==== 
 +<file> 
 +AllowGroups sshers 
 +</file> 
 +Limiter la connexion ssh à un groupe d'utilisateur.   
 +==== Différences ==== 
 +<file> 
 +root@secours:/etc/sshdiff -y --suppress-common-lines sshd_config sshd_config.ori 
 +X11Forwarding no       | X11Forwarding yes 
 +       < 
 +AllowGroups sshers       < 
 +root@secours:/etc/ssh#  
 +</file> 
 +===== Gestion des utilisateurs ===== 
 +==== Création du groupe sshers ==== 
 +<file> 
 +root@secours:~# addgroup sshers 
 +Ajout du groupe « sshers » (GID 1002)... 
 +Fait. 
 +root@secours:~# 
 +</file> 
 +==== Ajout des users dans le groupe ==== 
 +<file> 
 +root@secours:~# adduser mazarini sshers 
 +Ajout de l'utilisateur « mazarini » au groupe « sshers »... 
 +Ajout de l'utilisateur mazarini au groupe sshers 
 +Fait. 
 +root@secours:~#  
 +</file>  
 +Si vous voulez pouvoir vous connecter avec root, il est indispensable de le mettre également dans le groupe sshers. 
 +===== Remarque sur la sécurité ===== 
 +==== Choix du port ==== 
 +Habituellement ssh utilise le port 22. Pour des raisons de sécurité, certains préconisent de changer de port pour compliquer la tâche des pirates. A mon avis, ce n'est pas nécessaire. Un simple outil de scan permet de retrouver le port sur lequel écoute le daemon sshd. 
  
-# What ports, IPs and protocols we listen for +Un pirate débutant se heurtera de toutes façons à une machine à jour et paramétrée correctementUn pirate confirmé... et bien je croise les doigts, mais ce n'est pas le changement de port qui le gênera.
-Port 22 +
-# Use these options to restrict which interfaces/protocols sshd will bind to +
-#ListenAddress :: +
-#ListenAddress 0.0.0.+
-Protocol 2 +
-# HostKeys for protocol version 2 +
-HostKey /etc/ssh/ssh_host_rsa_key +
-HostKey /etc/ssh/ssh_host_dsa_key +
-HostKey /etc/ssh/ssh_host_ecdsa_key +
-HostKey /etc/ssh/ssh_host_ed25519_key +
-#Privilege Separation is turned on for security +
-UsePrivilegeSeparation yes+
  
-# Lifetime and size of ephemeral version 1 server key +Eventuellement, en cas de découverte d'une faille, le changement de port peut permettre de gagner du temps avant la mise à jour du système.
-KeyRegenerationInterval 3600 +
-ServerKeyBits 1024+
  
-# Logging +J'ai choisi de garder le port 22.
-SyslogFacility AUTH +
-LogLevel INFO+
  
-# Authentication: 
-LoginGraceTime 120 
-PermitRootLogin without-password 
-StrictModes yes 
- 
-RSAAuthentication yes 
-PubkeyAuthentication yes 
-#AuthorizedKeysFile %h/.ssh/authorized_keys 
- 
-# Don't read the user's ~/.rhosts and ~/.shosts files 
-IgnoreRhosts yes 
-# For this to work you will also need host keys in /etc/ssh_known_hosts 
-RhostsRSAAuthentication no 
-# similar for protocol version 2 
-HostbasedAuthentication no 
-# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication 
-#IgnoreUserKnownHosts yes 
- 
-# To enable empty passwords, change to yes (NOT RECOMMENDED) 
-PermitEmptyPasswords no 
- 
-# Change to yes to enable challenge-response passwords (beware issues with 
-# some PAM modules and threads) 
-ChallengeResponseAuthentication no 
- 
-# Change to no to disable tunnelled clear text passwords 
-#PasswordAuthentication yes 
- 
-# Kerberos options 
-#KerberosAuthentication no 
-#KerberosGetAFSToken no 
-#KerberosOrLocalPasswd yes 
-#KerberosTicketCleanup yes 
- 
-# GSSAPI options 
-#GSSAPIAuthentication no 
-#GSSAPICleanupCredentials yes 
- 
-X11Forwarding yes 
-X11DisplayOffset 10 
-PrintMotd no 
-PrintLastLog yes 
-TCPKeepAlive yes 
-#UseLogin no 
- 
-#MaxStartups 10:30:60 
-#Banner /etc/issue.net 
- 
-# Allow client to pass locale environment variables 
-AcceptEnv LANG LC_* 
- 
-Subsystem sftp /usr/lib/openssh/sftp-server 
- 
-# Set this to 'yes' to enable PAM authentication, account processing, 
-# and session processing. If this is enabled, PAM authentication will 
-# be allowed through the ChallengeResponseAuthentication and 
-# PasswordAuthentication.  Depending on your PAM configuration, 
-# PAM authentication via ChallengeResponseAuthentication may bypass 
-# the setting of "PermitRootLogin without-password". 
-# If you just want the PAM account and session checks to run without 
-# PAM authentication, then enable this but set PasswordAuthentication 
-# and ChallengeResponseAuthentication to 'no'. 
-UsePAM yes 
-</file> 
 ===== Commandes ===== ===== Commandes =====
 ==== Gestion du daemon ==== ==== Gestion du daemon ====
Ligne 106: Ligne 60:
 root@mazarini:~# /etc/init.d/ssh restart root@mazarini:~# /etc/init.d/ssh restart
 </code> </code>
-===== Références =====+==== Connexion au serveur ==== 
 +<code bash> 
 +ssh kevin@mazarini.ovh 
 +ssh -6 kevin@mazarini.ovh 
 +</code> 
 +Par défaut, ssh utilise le protocole IPv4, l'option **-6** indique le protocole IPv6 
 + 
 +===== Etape suivante ===== 
 +===== Sources ===== 
 +  * http://www.isalo.org/wiki.debian-fr/index.php?title=Ssh 
 +  * http://www.alsacreations.com/tuto/lire/612-Premiere-connexion-SSH.html
  
      
sshd.1428260991.txt.gz · Dernière modification : 2023/07/04 10:55 (modification externe)