Tâche #11977
Scénario #11155: Renforcer la configuration SSH en accord avec les préconisations de l’ANSSI
Renforcer la configuration SSH en accord avec les préconisations de l’ANSSI
Demandes liées
Révisions associées
mise à jour du template SSH (ref #11977 @2h)
Supporter les connexions SSH en provenance de 2.3
Les serveurs 2.3 doivent pouvoir se connecter à Zéphir.
- tmpl/sshd_config: Suppression du paramètre « KexAlgorithms »
Ref: #11977
Historique
#1 Mis à jour par Scrum Master il y a presque 9 ans
- Temps estimé mis à 4.00 h
- Restant à faire (heures) mis à 4.0
#2 Mis à jour par Daniel Dehennin il y a presque 9 ans
- Fichier sshd_config.txt Voir ajouté
Un fichier de configuration basé sur les recomendations de l’ANSSI, à intégrer au template EOLE.
#3 Mis à jour par Scrum Master il y a presque 9 ans
- Statut changé de Nouveau à En cours
#4 Mis à jour par Emmanuel GARETTE il y a presque 9 ans
En vrac :
variables identiques :¶
Port 22
Protocol 2
PubkeyAuthentication yes
UsePrivilegeSeparation yes
StrictModes yes
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_rsa_key
LogLevel INFO
SyslogFacility AUTH
Subsystem sftp /usr/lib/sftp-server
PrintMotd no
HostbasedAuthentication no
IgnoreRhosts yes
AuthorizedKeysFile %h/.ssh/authorized_keys
variables existantes avec valeurs différentes :¶
ANSSI | EOLE
HostKey /etc/ssh/ssh_host_ed25519_key => /etc/ssh/ssh_host_dsa_key
TCPKeepAlive no => yes
AcceptEnv LANG LC_* => LANG LANGUAGE LC_* EDITOR
X11forwarding no => yes
LoginGraceTime 30 => 600
PermitRootLogin no => (forcé à yes dans le cas de la haute dispo)
variables uniquement ANSSI¶
GSSAPIAuthentication yes
GSSAPIKeyExchange yes
GSSAPICleanupCredentials yes
PasswordAuthentication no
Ciphers chacha20-poly1305@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-sha1-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-sha1-96,hmac-sha1
KexAlgorithms curve25519-sha256@libssh.org
IgnoreUserKnownHosts yes
PermitEmptyPasswords no
ChallengeResponseAuthentication no
PermitUserEnvironment no
AllowTcpForwarding no
Banner none
PrintLastLog yes
Compression delayed
ClientAliveInterval 30
ClientAliveCountMax 10
MaxStartups 5:30:10
variables uniquement EOLE¶
KeyRegenerationInterval 3600
ServerKeyBits 2048
UseDNS no
UsePAM yes
X11DisplayOffset 10
RSAAuthentication yes
RhostsRSAAuthentication no
AllowGroups xxxxxxxxxxxx
#5 Mis à jour par Emmanuel GARETTE il y a presque 9 ans
- Assigné à mis à Emmanuel GARETTE
#6 Mis à jour par Daniel Dehennin il y a presque 9 ans
- Statut changé de En cours à Fermé
- % réalisé changé de 0 à 100
- Restant à faire (heures) changé de 4.0 à 0.0
Toutes les recommandations ne sont pas faites car certaines requierent des développements (ref: #12123).
#7 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- Lié à Tâche #18105: Améliorer la définition de la variable "ssh_maxstartups" dans le dictionnaire ajouté