« LINUX:SSH » : différence entre les versions
(Page créée avec « =But= Le protocole SSH est incontournable. Il est sécurisé par l'utilisation de certificats comme HTTPS. Il remplace depuis longtemps des programmes non sécurisés tels… ») |
Aucun résumé des modifications |
||
| Ligne 3 : | Ligne 3 : | ||
=[[LINUX:Sshd|Serveur Sshd]]= | |||
Sous Linux/Fedora, le serveur SSHD est d'office installé. | Sous Linux/Fedora, le serveur SSHD est d'office installé. | ||
| Ligne 30 : | Ligne 22 : | ||
ListenAddress 0.0.0.0 | ListenAddress 0.0.0.0 | ||
Nous conseillons pour des raisons de sécurité, les options suivantes: | |||
AllowAgentForwarding no | |||
AllowTcpForwarding no | |||
X11Forwarding no | |||
TCPKeepAlive no | |||
MaxAuthTries 3 | |||
MaxSessions 2 | |||
ClientAliveInterval 300 | |||
ClientAliveCountMax 2 | |||
Version du 19 octobre 2020 à 18:03
But
Le protocole SSH est incontournable. Il est sécurisé par l'utilisation de certificats comme HTTPS. Il remplace depuis longtemps des programmes non sécurisés tels Telnet et Rcp. Il est utilisé de nombreuses façons (rsync, tunneling,... ); nous nous intéresserons plus spécifiquement à l'ouverture simple de sessions distantes et à la copie distante.
Serveur Sshd
Sous Linux/Fedora, le serveur SSHD est d'office installé.
Configuration
Les fichiers de configuration se trouvent dans le répertoire "/etc/ssh". Le fichier "sshd_config" contient la configuration de la partie écoute du serveur.
Par défaut le port d'écoute est le 22 mais il est conseillé de le changer pour un port libre, par exemple "4321". Dans ce fichier de configuration, il faut mettre (ou remplacer) la ligne suivante:
Port 4321
au lieu de "Port 22".
Si on désire restreindre l'écoute à IPV4, ajoutez la ligne:
ListenAddress 0.0.0.0
Nous conseillons pour des raisons de sécurité, les options suivantes:
AllowAgentForwarding no AllowTcpForwarding no X11Forwarding no TCPKeepAlive no MaxAuthTries 3 MaxSessions 2 ClientAliveInterval 300 ClientAliveCountMax 2
Activer et lancer le service
Le service à lancer est SSHD. La première commande active le service pour qu'à chaque démarrage du serveur, le service se lance. La seconde lance directement le service. La troisième relance le service.
systemctl enable sshd.service systemctl start sshd.service systemctl restart sshd.service
Configurer le mur de feu ou FireWall
Vous avez sûrement activé le FireWall du serveur. Comme c'est un service proposé, il faut ouvrir une porte. Le port TCP à ajouter est 22 par défaut. Dans l'exemple, l'adressage de notre LAN est 192.168.1.0 avec un masque de 255.255.255.0 ou de 24 bits. Nous utilisons IPTABLES; voici la ligne à ajouter:
-A INPUT -p tcp -m tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
Si on veut accéder à d'autres machines du LAN et si on bloque ce qui sort, il faut ajouter la ligne suivante:
-A OUTPUT -p tcp -m tcp --dport 22 -d 192.168.1.0/24 -j ACCEPT
On conseille fortement de changer de port d'écoute. Par exemple 4321, si on suit la configuration décrite ci-dessus, les deux lignes deviennent respectivement:
-A INPUT -p tcp -m tcp --dport 4321 -s 192.168.1.0/24 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 4321 -d 192.168.1.0/24 -j ACCEPT