📋 Configuration SSH sécurisée 🔑

Suite à la demande de Ricardo, cherchant conseils et posant des questions utiles à-propos de la bonne configuration de SSH, je lui avais posté ce mémo que j’avais écrit, en Août 2015 :

• SSH Configuration et clés plus sécurisées

Hier, et aujourd’hui, je me suis plongé dans les fichiers README relatives aux différentes versions 6.x et 7.x.

Le premier mémo confirme ce que j’avais écrit dans l’article ci-dessus, le deuxième article informe d’un avis de sécurité important !

• SSH : État des lieux … v6.x
• SSH : État des lieux … v7.x

De la bonne configuration des fichiers de config SSH.

Côté serveur : fichier de config /etc/ssh/sshd_config … le fichier ssh_config lui sert à obliger les stations qui chercheraient à se connecter
Côté station : fichier de config ~/.ssh/ssh_config

En résumé :

1. • Côté client/serveur : utiliser de préférence les modes de chiffrement Ciphers suivant :

• chacha20-poly1305@openssh.com - dès la version 6.5, par défaut dans la 6.9
• à défaut, l’un des deux chiffrements suivants : aes128-gcm@openssh.com, aes256-gcm@openssh.com

2. • côté client/serveur : utiliser de préférence les modes MAC EtM, :

• de préférence hmac-sha2-512-etm@openssh.com, dès que disponible ;
• à défaut les modes suivants : hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

3. • côté client/serveur : utiliser les algorithmes KexAlgorithms suivants : curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
4. • côté client/serveur : utiliser le chiffrement ED25519 pour générer vos nouvelles clés, et/ou les mettre à jour ! (pour savoir comment les générer, lire mon premier mémo.)
5. • côté client : utiliser l’option ‘UseRoaming no’ !

• (à utiliser impérativement pour toutes les versions <= 7.2 - option désactivée définitivement à partir de cette version 7.2)

6. -côté client : utiliser l’option “IdentityPersist” qui définit le temps de vie de la clé enregistrée (en nombre de secondes, ou “true”, pour infini.)

Concernant l’outil “ssh-keygen” :

1. On n’utilise plus les chiffrements DSA, ECDSA : byebye !!!
2. On utilise correctement RSA, à mimina avec l’option ‘-o’ utilisant le durcissement PKBDF, et des clés minimales de 4096 bits, voire plus - tel que, par exemple :

• ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa -o
• ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa -o -a 64

3. Mieux on utilise directement le chiffrement ED25519, avec l’option ‘-o’ utilisant le durcissement PKBDF - tel que, par exemple :

• ssh-keygen -t ed25519 -f ~/.ssh/id_ed25519 -o -a 64

Pour mémo, l’option ‘-a’ spécifie le nombre de tours désirés ; si non spécifiée, le durcissement PKBDF sera utilisé en faisant 16 tours de chiffrement. La valeur 64 est la recommandation actuelle pour les paranoïaques.

/!\ Attention : plus la clé durcie est créée avec un nombre de bits important, et un nombre de tours considérables, plus le temps de connexion au serveur sera allongé - ce temps est nécessaire et nécessité pour que la machine “décode” votre clé - cela a donc un impact non négligeable sur le temps de connexion, et donc sur l’usage d’option, telle que “LoginGraceTime” … la recommandation actuelle est de 60 secondes. Si pour vos besoins, vous avez baissé à moins de secondes, il va falloir remonter cette valeur … etc … etc … [b]/![/b]
Ainsi là où avant vous arriviez à vous connecter en quelques petites secondes, la probabilité que ce soit en plusieurs dizaines de secondes est une réalité !

• Gestion des connexions SSH avec Home chiffré !
• Gestion du SSH ChrootDirectory …

Ci-joint un script de génération de clés !

Tu dois pouvoir modifier maintenant je pense. J’ai modifié les paramètres de configuration du forum pour ça.

OUI, ça marche … merci

Ajout de 2 tutos …
Ajout des informations sensibles à-propos de l’outil ssh-keygen

• modification de pagination !

Ajout de l’information importante, concernant le temps de connexion allongé !