Mazarini

Outils pour utilisateurs

Outils du site

Piste :
sshd

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
sshd [2015/04/05 19:25] – [Choix du port] pascalsshd [2023/07/04 10:55] (Version actuelle) – modification externe 127.0.0.1
Ligne 8: Ligne 8:
  
 ===== Configuration /etc/ssh/sshd_config ===== ===== Configuration /etc/ssh/sshd_config =====
-==== Configuration initiale ====+==== X11Forwarding ====
 <file> <file>
-# Package generated configuration file +X11Forwarding no
-# See the sshd_config(5) manpage for details +
- +
-# What ports, IPs and protocols we listen for +
-Port 22 +
-# Use these options to restrict which interfaces/protocols sshd will bind to +
-#ListenAddress :: +
-#ListenAddress 0.0.0.0 +
-Protocol 2 +
-# HostKeys for protocol version 2 +
-HostKey /etc/ssh/ssh_host_rsa_key +
-HostKey /etc/ssh/ssh_host_dsa_key +
-HostKey /etc/ssh/ssh_host_ecdsa_key +
-HostKey /etc/ssh/ssh_host_ed25519_key +
-#Privilege Separation is turned on for security +
-UsePrivilegeSeparation yes +
- +
-# Lifetime and size of ephemeral version 1 server key +
-KeyRegenerationInterval 3600 +
-ServerKeyBits 1024 +
- +
-# Logging +
-SyslogFacility AUTH +
-LogLevel INFO +
- +
-# Authentication: +
-LoginGraceTime 120 +
-PermitRootLogin without-password +
-StrictModes yes +
- +
-RSAAuthentication yes +
-PubkeyAuthentication yes +
-#AuthorizedKeysFile %h/.ssh/authorized_keys +
- +
-# Don't read the user's ~/.rhosts and ~/.shosts files +
-IgnoreRhosts yes +
-# For this to work you will also need host keys in /etc/ssh_known_hosts +
-RhostsRSAAuthentication no +
-# similar for protocol version 2 +
-HostbasedAuthentication no +
-# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication +
-#IgnoreUserKnownHosts yes +
- +
-# To enable empty passwords, change to yes (NOT RECOMMENDED) +
-PermitEmptyPasswords no +
- +
-# Change to yes to enable challenge-response passwords (beware issues with +
-# some PAM modules and threads) +
-ChallengeResponseAuthentication no +
- +
-# Change to no to disable tunnelled clear text passwords +
-#PasswordAuthentication yes +
- +
-# Kerberos options +
-#KerberosAuthentication no +
-#KerberosGetAFSToken no +
-#KerberosOrLocalPasswd yes +
-#KerberosTicketCleanup yes +
- +
-# GSSAPI options +
-#GSSAPIAuthentication no +
-#GSSAPICleanupCredentials yes +
- +
-X11Forwarding yes +
-X11DisplayOffset 10 +
-PrintMotd no +
-PrintLastLog yes +
-TCPKeepAlive yes +
-#UseLogin no +
- +
-#MaxStartups 10:30:60 +
-#Banner /etc/issue.net +
- +
-# Allow client to pass locale environment variables +
-AcceptEnv LANG LC_* +
- +
-Subsystem sftp /usr/lib/openssh/sftp-server +
- +
-# Set this to 'yes' to enable PAM authentication, account processing, +
-# and session processing. If this is enabled, PAM authentication will +
-# be allowed through the ChallengeResponseAuthentication and +
-# PasswordAuthentication.  Depending on your PAM configuration, +
-# PAM authentication via ChallengeResponseAuthentication may bypass +
-# the setting of "PermitRootLogin without-password"+
-# If you just want the PAM account and session checks to run without +
-# PAM authentication, then enable this but set PasswordAuthentication +
-# and ChallengeResponseAuthentication to 'no'. +
-UsePAM yes+
 </file> </file>
 +Dans la mesure on le serveur n'utilisera pas X11, passer ce paramètre de "yes" à "no".
 +==== AllowGroups ====
 +<file>
 +AllowGroups sshers
 +</file>
 +Limiter la connexion ssh à un groupe d'utilisateur.  
 +==== Différences ====
 +<file>
 +root@secours:/etc/ssh# diff -y --suppress-common-lines sshd_config sshd_config.ori
 +X11Forwarding no       | X11Forwarding yes
 +       <
 +AllowGroups sshers       <
 +root@secours:/etc/ssh# 
 +</file>
 +===== Gestion des utilisateurs =====
 +==== Création du groupe sshers ====
 +<file>
 +root@secours:~# addgroup sshers
 +Ajout du groupe « sshers » (GID 1002)...
 +Fait.
 +root@secours:~#
 +</file>
 +==== Ajout des users dans le groupe ====
 +<file>
 +root@secours:~# adduser mazarini sshers
 +Ajout de l'utilisateur « mazarini » au groupe « sshers »...
 +Ajout de l'utilisateur mazarini au groupe sshers
 +Fait.
 +root@secours:~# 
 +</file> 
 +Si vous voulez pouvoir vous connecter avec root, il est indispensable de le mettre également dans le groupe sshers.
 +===== Remarque sur la sécurité =====
 ==== Choix du port ==== ==== Choix du port ====
 Habituellement ssh utilise le port 22. Pour des raisons de sécurité, certains préconisent de changer de port pour compliquer la tâche des pirates. A mon avis, ce n'est pas nécessaire. Un simple outil de scan permet de retrouver le port sur lequel écoute le daemon sshd.  Habituellement ssh utilise le port 22. Pour des raisons de sécurité, certains préconisent de changer de port pour compliquer la tâche des pirates. A mon avis, ce n'est pas nécessaire. Un simple outil de scan permet de retrouver le port sur lequel écoute le daemon sshd. 
Ligne 115: Ligne 60:
 root@mazarini:~# /etc/init.d/ssh restart root@mazarini:~# /etc/init.d/ssh restart
 </code> </code>
-===== Références =====+==== Connexion au serveur ==== 
 +<code bash> 
 +ssh kevin@mazarini.ovh 
 +ssh -6 kevin@mazarini.ovh 
 +</code> 
 +Par défaut, ssh utilise le protocole IPv4, l'option **-6** indique le protocole IPv6 
 + 
 +===== Etape suivante ===== 
 +===== Sources ===== 
 +  * http://www.isalo.org/wiki.debian-fr/index.php?title=Ssh 
 +  * http://www.alsacreations.com/tuto/lire/612-Premiere-connexion-SSH.html
  
      
sshd.1428261949.txt.gz · Dernière modification : 2023/07/04 10:55 (modification externe)