4 203
modifications
« Installation et configuration de OpenSSH » : différence entre les versions
Aller à la navigation
Aller à la recherche
Installation et configuration de OpenSSH (voir la source)
Version du 2 février 2019 à 21:10
, 2 février 2019→Forcer des utilisateurs à utiliser sftp
Aucun résumé des modifications |
|||
| (20 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 1 : | Ligne 1 : | ||
[[Category:serveur]] | |||
[[Category:debian]] | |||
OpenSSH est une implémentation libre du protocole SSH permettant des communications sécurisées. | OpenSSH est une implémentation libre du protocole SSH permettant des communications sécurisées. | ||
OpenSSH fournit les outils suivants : | OpenSSH fournit les outils suivants : | ||
| Ligne 6 : | Ligne 7 : | ||
* sftp, un remplaçant pour ftp. | * sftp, un remplaçant pour ftp. | ||
* sshd, le démon SSH | * sshd, le démon SSH | ||
=Installation= | =Installation= | ||
| Ligne 14 : | Ligne 16 : | ||
=Modification du fichier sshd_config= | =Modification du fichier sshd_config= | ||
Le fichier <code>/etc/ssh/sshd_config</code> permet de définir des options agissant sur le daemon sshd. Éditez ce fichier et ajoutez ou modifiez les lignes suivantes si nécessaire : | Le fichier <code>/etc/ssh/sshd_config</code> permet de définir des options agissant sur le daemon sshd. Éditez ce fichier et ajoutez ou modifiez les lignes suivantes si nécessaire. Dans la majorité des cas, la configuration par défaut de debian sera suffisante. Attention cependant, depuis debian jessie, le login root est désactivé par défaut (<code>PermitRootLogin no</code>). | ||
Les deux directives auxquelles je touche le plus souvent : | |||
<pre> | <pre> | ||
PermitRootLogin without-password | |||
AllowUsers root pfoo jonass | |||
PermitRootLogin | |||
AllowUsers pfoo jonass | |||
</pre> | </pre> | ||
Petite revue des options : | |||
* Port : spécifie le port sur lequel le serveur ssh doit écouter. Par défaut, le port 22 est utilisé. Certaines personnes préfèrent utiliser un autre port afin de réduire les risques d'attaques, principalement par brute force. Personnellement, je trouve cela inutile du moment qu'on a bien configuré sshd. | * Port : spécifie le port sur lequel le serveur ssh doit écouter. Par défaut, le port 22 est utilisé. Certaines personnes préfèrent utiliser un autre port afin de réduire les risques d'attaques, principalement par brute force. Personnellement, je trouve cela inutile du moment qu'on a bien configuré sshd. | ||
* ListenAddress : spécifie l'adresse ip sur laquelle le serveur ssh écoute. Par défaut, ssh écoute sur l'ip 0.0.0.0 (il écoutera donc toutes les ips configurée sur la machine). | * ListenAddress : spécifie l'adresse ip sur laquelle le serveur ssh écoute. Par défaut, ssh écoute sur l'ip 0.0.0.0 (il écoutera donc toutes les ips configurée sur la machine). | ||
| Ligne 50 : | Ligne 32 : | ||
* LoginGraceTime : spécifie le temps (en seconde) que le serveur va attendre avant de déconnecter un utilisateur ne s'étant pas logué avec succès. | * LoginGraceTime : spécifie le temps (en seconde) que le serveur va attendre avant de déconnecter un utilisateur ne s'étant pas logué avec succès. | ||
* KeyRegenerationInterval : spécifie combien de temps le serveur va attendre avant de régénérer automatiquement sa clé. | * KeyRegenerationInterval : spécifie combien de temps le serveur va attendre avant de régénérer automatiquement sa clé. | ||
* PermitRootLogin : spécifie si l'utilisateur root peut se loguer en utilisant ssh. Désactiver cette option permet d'augmenter sensiblement la sécurité en se prévenant des attaques de type brute-force sur l'utilisateur root. Pour n'autoriser que le login par clé utilisez l'argument <code>without-password</code> au lieu de <code>no</code> | * PermitRootLogin : spécifie si l'utilisateur root peut se loguer en utilisant ssh. Désactiver cette option permet d'augmenter sensiblement la sécurité en se prévenant des attaques de type brute-force sur l'utilisateur root. Pour n'autoriser que le login par clé utilisez l'argument <code>without-password</code> au lieu de <code>no</code> et ajouter root à la liste des utilisateurs autorisés par la directive <code>AllowUsers</code>. | ||
* IgnoreRhosts : spécifie si les fichiers ~/.rhosts et ~/.shosts ne doivent pas être utilisé. Il est recommandé de mettre cette option à yes pour des raisons de sécurité. | * IgnoreRhosts : spécifie si les fichiers ~/.rhosts et ~/.shosts ne doivent pas être utilisé. Il est recommandé de mettre cette option à yes pour des raisons de sécurité. | ||
* IgnoreUserKnownHosts : spécifie si le fichier ~/.ssh/known_hosts doit être ignoré lors d'une RhostsRSAAuthentication. | * IgnoreUserKnownHosts : spécifie si le fichier ~/.ssh/known_hosts doit être ignoré lors d'une RhostsRSAAuthentication. | ||
| Ligne 87 : | Ligne 69 : | ||
La version 2 du protocole ssh impose une clé d'au moins 768 bits. | La version 2 du protocole ssh impose une clé d'au moins 768 bits. | ||
Voici les différentes options que vous pouvez spécifier : | Voici les différentes options que vous pouvez spécifier : | ||
* from= : spécifie le nom canonique de la machine distante. L'opérateur "!" peut être utilisé pour empêcher la connexion si le mot précédé d'un "!" est trouvé. Si un hostname est spécifié, toutes les ips associées à cette hostname seront autorisés. | * <code>from=</code> : spécifie le nom canonique de la machine distante. L'opérateur "!" peut être utilisé pour empêcher la connexion si le mot précédé d'un "!" est trouvé. Si un hostname est spécifié, toutes les ips associées à cette hostname seront autorisés. | ||
* command= : spécifie la commande qui doit être exécuté lorsqu'un connexion utilisé cette clé. Celà implique que la commande fournie par le client se connectant sera ignoré. | * <code>command=</code> : spécifie la commande qui doit être exécuté lorsqu'un connexion utilisé cette clé. Celà implique que la commande fournie par le client se connectant sera ignoré. | ||
* no-port-forwarding : interdit les redirections (forwarding) tcp/ip. | * <code>no-port-forwarding</code> : interdit les redirections (forwarding) tcp/ip. | ||
* no-X11-forwarding : interdit les redirections (forwarding) X11. | * <code>no-X11-forwarding</code> : interdit les redirections (forwarding) X11. | ||
* no-agent-forwarding : interdit les redirections (forwarding) de l'agent d'authentification. | * <code>no-agent-forwarding</code> : interdit les redirections (forwarding) de l'agent d'authentification. | ||
* no-pty : interdit l'allocation d'un terminal. | * <code>no-pty</code> : interdit l'allocation d'un terminal. | ||
* permitopen=host:port : limite les redirections de port de manière à ce qu'il ne soit possible de se connecter qu'à l'host:port spécifié. | * <code>permitopen=host:port</code> : limite les redirections de port de manière à ce qu'il ne soit possible de se connecter qu'à l'host:port spécifié. | ||
Exemple : | |||
<pre> | |||
from="192.168.0.15",no-port-forwarding,no-pty ssh-rsa AAAAB | |||
3NzaC1yc2EAAAABIwAAAQEAybmcqaU/Xos/GhYCzkV+kDsK8+A5OjaK5WgLMqmu38aPo | |||
56Od10RQ3EiB42DjRVY8trXS1NH4jbURQPERr2LHCCYq6tHJYfJNhUX/COwHs+ozNPE8 | |||
3CYDhK4AhabahnltFE5ZbefwXW4FoKOO+n8AdDfSXOazpPas8jXi5bEwNf7heZT++a/Q | |||
xbu9JHF1huThuDuxOtIWl07G+tKqzggFVknM5CoJCFxaik91lNGgu2OTKfY94c/ieETO | |||
XE5L+fVrbtOh7DTFMjIYAWNxy4tlMR/59UVw5dapAxH9J2lZglkj0w0LwFI+7hZu9XvN | |||
fMKMKg+ERAz9XHYH3608RL1RQ== commentaire de la clé | |||
</pre> | |||
=Installation d'une clé privé pour se connecter plus facilement au serveur= | =Installation d'une clé privé pour se connecter plus facilement au serveur= | ||
| Ligne 104 : | Ligne 97 : | ||
Il faut ensuite générer vos clés publique et privée : | Il faut ensuite générer vos clés publique et privée : | ||
<pre>ssh-keygen -t | <pre>ssh-keygen -t rsa -b 4096</pre> | ||
Ici je génère une clé | Ici je génère une clé rsa de 4096 bits. D'autres algorithmes sont disponibles comme ecdsa et ed25519.<br /> | ||
Il vous sera posé deux questions. La première vous demandera d'indiquer le chemin où les clés doivent être installés. Vous pouvez laisser le chemin proposé par défaut si vous ne souhaitez utiliser qu'un seul couple de clé. La seconde question vous demande d'entrer la passphrase qui servira à protéger la clé privé. Vous pouvez entrer une passphrase ou non, mais il est recommandé d'en entrer une par mesure de sécurité. | Il vous sera posé deux questions. La première vous demandera d'indiquer le chemin où les clés doivent être installés. Vous pouvez laisser le chemin proposé par défaut si vous ne souhaitez utiliser qu'un seul couple de clé. La seconde question vous demande d'entrer la passphrase qui servira à protéger la clé privé. Vous pouvez entrer une passphrase ou non, mais il est recommandé d'en entrer une par mesure de sécurité. | ||
Une fois les clés générées, il va falloir ajouter la clé publique à la liste des clés autorisées par votre serveur. Pour cela, on utilise la commande ssh-copy-id | Une fois les clés générées, il va falloir ajouter la clé publique à la liste des clés autorisées par votre serveur. Pour cela, on utilise la commande ssh-copy-id | ||
<pre> | <pre> | ||
$ ssh-copy-id -i ~/.ssh/ | $ ssh-copy-id -i ~/.ssh/id_rsa.pub plouf@hostname | ||
Password: | Password: | ||
</pre> | </pre> | ||
| Ligne 130 : | Ligne 122 : | ||
<pre> | <pre> | ||
ssh-agent bash | ssh-agent bash | ||
ssh-add .ssh/ | ssh-add .ssh/id_rsa | ||
</pre> | </pre> | ||
| Ligne 137 : | Ligne 129 : | ||
Notez que certains environnement graphique (Gnome, kde notamment) gèrent eux-même automatiquement le déblocage des clés privées. Vous n'aurez alors pas besoin de lancer ssh-agent vous même. | Notez que certains environnement graphique (Gnome, kde notamment) gèrent eux-même automatiquement le déblocage des clés privées. Vous n'aurez alors pas besoin de lancer ssh-agent vous même. | ||
= | ==Utiliser plusieurs clés== | ||
Rien de vous empêche de créer plusieurs clés (sous des noms différents tout de même). Il faudra cependant configurer votre client ssh afin qu'il sache quelle clé utiliser pour quelle ip. Pour cela, créez le fichier <code>~/.ssh/config</code> et ajoutez y les lignes suivantes : | |||
<pre> | |||
Host serveur1.domain.com | |||
User pfoo | |||
Identityfile ~/.ssh/id_rsa_serveur1 | |||
Host serveur2.domain.com | |||
User blah | |||
Identityfile ~/.ssh/id_rsa_serveur2 | |||
</pre> | |||
Avec ce fichier, une tentative de connexion de l'utilisateur <code>pfoo</code> sur <code>serveur1.domain.com</code> utilisera la clé <code>~/.ssh/id_rsa_serveur1</code> alors qu'une connexion de l'utilisateur <code>blah</code> sur <code>serveur2.domain.com</code> utilisera la clé <code>~/.ssh/id_rsa_serveur2</code>. | |||
==Limiter l'utilisation== | |||
* from="" | |||
* command="" | |||
* no-port-forwarding | |||
* no-X11-forwarding | |||
* no-agent-forwarding | |||
* no-pty | |||
exemple : | |||
<pre> | |||
from="votre_ip",no-port-forwarding,no-pty ssh-rsa AAAAB[...] | |||
</pre> | |||
La directive <code>Match</code> permet de définir des actions qui ne s'appliqueront qu'à un groupe d'utilisateur. Si vous voulez par exemple forcer un groupe d'utilisateur à se connecter en sftp uniquement (les utilisateurs de ce groupe ne pourront donc plus se connecter en ssh) vous pouvez ajouter les lignes suivantes à la fin du fichier de configuration de sshd : | =Forcer des utilisateurs à utiliser sftp= | ||
La directive <code>Match</code> permet de définir des actions qui ne s'appliqueront qu'à un utilisateur (<code>Match User</code>) ou un groupe d'utilisateur (<code>Match Group</code>). Si vous voulez par exemple forcer un groupe d'utilisateur à se connecter en sftp uniquement (les utilisateurs de ce groupe ne pourront donc plus se connecter en ssh) vous pouvez ajouter les lignes suivantes à la fin du fichier de configuration de sshd : | |||
<pre> | <pre> | ||
Match Group sftponly | Match Group sftponly | ||
| Ligne 150 : | Ligne 171 : | ||
* aient pour groupe primaire sftponly | * aient pour groupe primaire sftponly | ||
* que leurs répertoires home appartiennent à root et ne puissent être écrit par aucun autre utilisateur ou groupe. | * que leurs répertoires home appartiennent à root et ne puissent être écrit par aucun autre utilisateur ou groupe. | ||
Vous pouvez aussi changer le shell de ces utilisateurs à /bin/false. | Vous pouvez aussi, pour plus de sécurité, changer le shell de ces utilisateurs à <code>/bin/false</code> : <code>chsh -s /bin/false username</code> | ||
=Forcer des utilisateurs aux commandes de transfert de fichiers= | |||
Vous pouvez utiliser <code>rssh</code> qui est un shell restreint qui ne permet l'usage que des commandes scp, sftp, cvs, svnserve (Subversion) rdist et rsync. | |||
=Renouveler les clés ssh du serveur= | |||
<pre> | |||
rm -rf /etc/ssh/ssh_host* | |||
ssh-keygen -f /etc/ssh/ssh_host_rsa_key -t rsa -N '' | |||
ssh-keygen -f /etc/ssh/ssh_host_dsa_key -t dsa -N '' | |||
</pre> | |||