11
modifications
« Ssh » : différence entre les versions
Aller à la navigation
Aller à la recherche
aucun résumé des modifications
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 257 : | Ligne 257 : | ||
X11Forwarding no | X11Forwarding no | ||
== Faire du déport d'affichage == | |||
Il s'agit ici d'activer l'option X11Forwarding qui permet d'éxecuter à distance des applications graphiques et de les afficher localement. | |||
Assurez-vous que l'option ci-dessous est bien activée: | |||
X11Forwarding yes | |||
Le déport d'affichage nécessite une bonne connexion réseau (en effet le serveur envoie des images du serveur vers le client). | |||
Le client se connecte avec l'option -X | |||
$ ssh -X utilisateur@serveur | |||
Cette option est activée par défaut, si vous n'en avez pas besoin (et pour des raisons de sécurité) pensez à la désactiver | |||
X11Forwarding no | |||
== La configuration du serveur SSH == | |||
Un exemple complet de configuration pour un serveur SSH : | |||
################################ | |||
# Configuration du Serveur SSH # | |||
################################ | |||
# Le Protocole 2 est mieux sécurisé : | |||
Protocol 2 | |||
# Port à utiliser : | |||
Port 22 | |||
# Clé publique du serveur à utiliser pour identifier le serveur : | |||
# HostKey /etc/ssh/ssh_host_rsa_key | |||
HostKey /etc/ssh/ssh_host_ed25519_key | |||
###################################### | |||
###################################### | |||
# Oblige l'authentification par clé SSH : | |||
# Valeur commentée par défaut ! | |||
AuthenticationMethods publickey | |||
# Interdire l'authentification par mot de passe : | |||
PasswordAuthentication no | |||
# Interdire les mots de passe vide : | |||
PermitEmptyPasswords no | |||
# Autoriser la connexion pour les utilisateurs suivants : | |||
AllowUsers user1 user2 user3 user4 | |||
# Choix de connexion pour l'utilisateur root sur le serveur SSH : | |||
PermitRootLogin no | |||
# Interdire certains utilisateurs : | |||
DenyUsers root | |||
###################################### | |||
###################################### | |||
# Durée maximum autorisée pour établir la connexion : | |||
LoginGraceTime 25s | |||
# Limiter a un nombre maximum les tentatives de connexions SSH non authentifiée : | |||
MaxStartups 3:50:5 | |||
# Maximum de 3 essais pour renseigner la passe phrase : | |||
MaxAuthTries 3 | |||
# Maximum de 3 sessions ouvertes en même temps : | |||
MaxSessions 3 | |||
# Autorise l'authentification par clé SSH : | |||
PubkeyAuthentication yes | |||
# Clés publiques autorisées pour établir une connexion : | |||
AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2 | |||
# Interdire la prise en compte des fichiers de configuration des commandes r avec SSH : | |||
IgnoreRhosts yes | |||
# Le serveur d'authentification challenge-response PAM n'est pas configuré par défaut : | |||
ChallengeResponseAuthentication no | |||
# PAM fournit la gestion des sessions et des comptes ! | |||
UsePAM yes | |||
# Refuser l'export display : | |||
X11Forwarding no | |||
# La valeur no désactive complètement l'impression de motd. | |||
PrintMotd yes | |||
# Refuser l'authentification basée sur les DNS : | |||
UseDNS no | |||
# Refuser l'authentification basée sur l'hôte : | |||
HostbasedAuthentication no | |||
# Permet au client de définir des variables d'environnement dès l'établissement de la connexion : | |||
AcceptEnv LANG LC_* | |||
# Loguer les tentatives de connexions dans /var/log/auth.log en ajoutant la ligne suivante : | |||
SyslogFacility AUTH | |||
# Permet d'avoir une trace d'audit claire de la clé utilisée pour se connecter : | |||
LogLevel VERBOSE | |||
# Journaliser les accès aux fichiers de niveau sftp qui ne seraient pas journalisés autrement : | |||
# Subsystem sftp /usr/lib/openssh/sftp-server | |||
Subsystem sftp /usr/lib/openssh/sftp-server -f AUTHPRIV -l INFO | |||
# Définir un temps limite d'inactivité pour forcer la déconnexion : | |||
ClientAliveInterval 900 | |||
# Concerne le nombre maximal de requêtes : | |||
ClientAliveCountMax 0 | |||
# Vérifie les modes et le propriétaire des fichiers et du répertoire home de l'utilisateur avant de se connecter : | |||
StrictModes yes | |||
# La mort de la connexion ou le crash de la machines sera remarqué pour mettre fin à la connexion : | |||
TCPKeepAlive yes | |||
# Afficher un message pour l'utilisateur suite à une demande de connexion : | |||
Banner /etc/issue | |||
# En règle général les entreprises préfèrent désactiver le Port Forwarding pour éviter la fuite d'informations : | |||
AllowTcpForwarding no | |||
# Spécifie si le transfert de sockets de domaine Unix est autorisé : | |||
AllowStreamLocalForwarding no | |||
# Spécifie si les hôtes distants sont autorisés à se connecter aux ports transférés pour le client : | |||
GatewayPorts no | |||
# Spécifie si le transfert de périphérique est autorisé : | |||
PermitTunnel no | |||
# Spécifie les destinations vers lesquelles le transfert de port TCP est autorisé : | |||
PermitOpen any | |||
# Spécifier les algorithmes KEX (échange de clés) disponibles : | |||
KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 | |||
# Spécifier les ciphers autorisés : | |||
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr | |||
# Spécifier les algorithmes MAC (Message authentication code) : | |||
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com | |||
== Liens externes == | == Liens externes == | ||