« LINUX:Sshd » : différence entre les versions

De WIKI sur Linux (ADB)
Aller à la navigation Aller à la recherche
(Page créée avec « =But= Sous Linux/Fedora, le serveur SSHD est d'office installé. =Configuration= Les fichiers de configuration se trouvent dans le répertoire "'''/etc/ssh'''". Le fichi… »)
 
Aucun résumé des modifications
 
(4 versions intermédiaires par le même utilisateur non affichées)
Ligne 1 : Ligne 1 :
----
''→ [[LINUX:SSH|retour à SSH]]''
----
=But=
=But=
Sous Linux/Fedora, le serveur SSHD est d'office installé.
Sous Linux/Fedora, le serveur SSHD est d'office installé.
Ligne 24 : Ligne 27 :
  ClientAliveInterval 300
  ClientAliveInterval 300
  ClientAliveCountMax 2
  ClientAliveCountMax 2
Les premières déactivent les possibilités de tunnelling. Les deux dernières sont utiles pour arrêter une session et les processus associés en cas de coupures réseaux.




Ligne 36 : Ligne 40 :
=Configurer le mur de feu ou FireWall=
=Configurer le mur de feu ou FireWall=
Vous avez sûrement activé le FireWall du serveur. Comme c'est un service proposé, il faut ouvrir une porte. Le port TCP à ajouter est 22 par défaut. Dans l'exemple, l'adressage de notre LAN est 192.168.1.0 avec un masque de 255.255.255.0 ou de 24 bits. Nous utilisons IPTABLES; voici la ligne à ajouter:
Vous avez sûrement activé le FireWall du serveur. Comme c'est un service proposé, il faut ouvrir une porte. Le port TCP à ajouter est 22 par défaut. Dans l'exemple, l'adressage de notre LAN est 192.168.1.0 avec un masque de 255.255.255.0 ou de 24 bits. Nous utilisons IPTABLES; voici la ligne à ajouter:
  -A INPUT -p tcp -m tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
  -A INPUT -p tcp -m tcp --dport 22 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT
Si on veut accéder à d'autres machines du LAN et si on bloque ce qui sort, il faut ajouter la ligne suivante:
Si on veut accéder à d'autres machines du LAN et si on bloque ce qui sort, il faut ajouter la ligne suivante:
  -A OUTPUT -p tcp -m tcp --dport 22 -d 192.168.1.0/24 -j ACCEPT
  -A OUTPUT -p tcp -m tcp --dport 22 -d 192.168.1.0/24 -j ACCEPT


On conseille fortement de changer de port d'écoute. Par exemple 4321, si on suit la configuration décrite ci-dessus, les deux lignes deviennent respectivement:
On conseille fortement de changer de port d'écoute. Par exemple, si on suit la configuration décrite ci-dessus avec le port 4321, les deux lignes deviennent respectivement:
  -A INPUT -p tcp -m tcp --dport 4321 -s 192.168.1.0/24 -j ACCEPT
  -A INPUT -p tcp -m tcp --dport 4321 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT
  -A OUTPUT -p tcp -m tcp --dport 4321 -d 192.168.1.0/24 -j ACCEPT
  -A OUTPUT -p tcp -m tcp --dport 4321 -d 192.168.1.0/24 -j ACCEPT
Pour la première ligne "INPUT", le serveur SSHD, ayant pour port 4321, se trouve sur la machine locale qui offre ce service.
Pour la seconde ligne "OUTPUT", le serveur SSHD, ayant pour port 4321, se trouve sur la machine distante que l'on désire atteindre.






----
----
''->[[LINUX:SSH|retour à SSH]]''
''→ [[LINUX:SSH|retour à SSH]]''
----
__NOEDITSECTION__
__NOEDITSECTION__
[[Category:LINUX]]

Dernière version du 9 mars 2022 à 17:54


retour à SSH


But

Sous Linux/Fedora, le serveur SSHD est d'office installé.


Configuration

Les fichiers de configuration se trouvent dans le répertoire "/etc/ssh". Le fichier "sshd_config" contient la configuration de la partie écoute du serveur.

Par défaut le port d'écoute est le 22 mais il est conseillé de le changer pour un port libre, par exemple "4321". Dans ce fichier de configuration, il faut mettre (ou remplacer) la ligne suivante:

Port 4321

au lieu de "Port 22".

Si on désire restreindre l'écoute à IPV4, ajoutez la ligne:

ListenAddress 0.0.0.0

Nous conseillons pour des raisons de sécurité, les options suivantes:

AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no
TCPKeepAlive no
MaxAuthTries 3
MaxSessions 2
ClientAliveInterval 300
ClientAliveCountMax 2

Les premières déactivent les possibilités de tunnelling. Les deux dernières sont utiles pour arrêter une session et les processus associés en cas de coupures réseaux.


Activer et lancer le service

Le service à lancer est SSHD. La première commande active le service pour qu'à chaque démarrage du serveur, le service se lance. La seconde lance directement le service. La troisième relance le service.

systemctl enable sshd.service systemctl start sshd.service systemctl restart sshd.service


Configurer le mur de feu ou FireWall

Vous avez sûrement activé le FireWall du serveur. Comme c'est un service proposé, il faut ouvrir une porte. Le port TCP à ajouter est 22 par défaut. Dans l'exemple, l'adressage de notre LAN est 192.168.1.0 avec un masque de 255.255.255.0 ou de 24 bits. Nous utilisons IPTABLES; voici la ligne à ajouter:

-A INPUT -p tcp -m tcp --dport 22 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT

Si on veut accéder à d'autres machines du LAN et si on bloque ce qui sort, il faut ajouter la ligne suivante:

-A OUTPUT -p tcp -m tcp --dport 22 -d 192.168.1.0/24 -j ACCEPT

On conseille fortement de changer de port d'écoute. Par exemple, si on suit la configuration décrite ci-dessus avec le port 4321, les deux lignes deviennent respectivement:

-A INPUT -p tcp -m tcp --dport 4321 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 4321 -d 192.168.1.0/24 -j ACCEPT

Pour la première ligne "INPUT", le serveur SSHD, ayant pour port 4321, se trouve sur la machine locale qui offre ce service.

Pour la seconde ligne "OUTPUT", le serveur SSHD, ayant pour port 4321, se trouve sur la machine distante que l'on désire atteindre.



retour à SSH