pense-bête de bruno sanchiz

Accueil > Trucs Informatiques > Configurations > configuration de ssh

configuration de ssh

Publié le 28 juin 2017, dernière mise-à-jour le 15 octobre 2019, 5 visites, 23091 visites totales.

créer une paire de clés DSA :

ssh-keygen -t dsa

changer la passphrase : ssh-keygen -p -f ~/.ssh/le_fichier_de_cle

Set up your client

  • ordi "client" : ssh-keygen
    • Enter file in which to save the key (/home/moi/.ssh/id_rsa) : taper un nom ( /home/moi/.ssh/id_rsa-machin ) ou juste
    • Enter passphrase (empty for no passphrase) : taper la phrase secrète ( la faire assez longue et compliquée )
    • Enter same passphrase again : taper uen deuxième fois la phrase secrète
    • Your identification has been saved in /home/moi/.ssh/id_rsa-machin.
    • Your public key has been saved in /home/moi/.ssh/id_rsa-machin.pub.
    • The key fingerprint is : SHA256:123456789454611cSD/dqs12
    • The key’s randomart image is : +---[RSA 2048]----+ ...
  • éventuellement, configurer le fichier /.ssh/config
  • copier la clé sur le serveur : ssh-copy-id -i ~/.ssh/machin.pub SERVERNAME ou ssh-copy-id -i ~/.ssh/machin.pub 192.168.1.2

On peut ajouter IdentitiesOnly yes .

Erreurs :

  • utiliser l’option "-vvv"
    -* Vérifier la présence des fichiers clés PUBLIC (.pub),
  • Make sure your IdentiyFile points to your PRIVATE key.
  • chmod -R 700 /.ssh
  • tail -f /var/log/auth.log (sur le serveur) pour regarder les erreurs pendant la tentative.
  • Avec plusieurs clés, mettre IdentitiesOnly yes pour limiter l’authentication à une seule clé.

non vérifié
tiré de https://www.debian-fr.org/t/clipboard-configuration-ssh-securisee-key/69006

Suite à la demande de Ricardo, cherchant conseils et posant des questions utiles à-propos de la bonne configuration de SSH, je lui avais posté ce mémo que j’avais écrit, en Août 2015 :

SSH Configuration et clés plus sécurisées33

Hier, et aujourd’hui, je me suis plongé dans les fichiers README relatives aux différentes versions 6.x et 7.x.

Le premier mémo confirme ce que j’avais écrit dans l’article ci-dessus, le deuxième article informe d’un avis de sécurité important !

SSH : État des lieux ... v6.x10
SSH : État des lieux ... v7.x9

De la bonne configuration des fichiers de config SSH.

Côté serveur : fichier de config /etc/ssh/sshd_config ... le fichier ssh_config lui sert à obliger les stations qui chercheraient à se connecter
Côté station : fichier de config /.ssh/ssh_config

En résumé :

- Côté client/serveur : utiliser de préférence les modes de chiffrement Ciphers suivant :
chacha20-poly1305@openssh.com - dès la version 6.5, par défaut dans la 6.9
à défaut, l’un des deux chiffrements suivants : aes128-gcm@openssh.com, aes256-gcm@openssh.com
- côté client/serveur : utiliser de préférence les modes MAC EtM, :
de préférence hmac-sha2-512-etm@openssh.com, dès que disponible ;
à défaut les modes suivants : hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256
- côté client/serveur : utiliser les algorithmes KexAlgorithms suivants : curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
- côté client/serveur : utiliser le chiffrement ED25519 pour générer vos nouvelles clés, et/ou les mettre à jour ! (pour savoir comment les générer, lire mon premier mémo.)
- côté client : utiliser l’option ’UseRoaming no’ !
(à utiliser impérativement pour toutes les versions <=> https://blog.stephane-huc.net/?post/SSH-Gestion-de-connexion-avec-Home-chiffr%C3%A9e] Gestion du SSH ChrootDirectory3 ...

Ci-joint un script de génération de clés21 !

[bruno sanchiz]