Outils pour utilisateurs

Outils du site


linux:installation:ssh

On l’installe

apt-get install openssh-server

On édite le message d’accueil

nano /etc/issue.net

On édite la config

nano /etc/ssh/sshd_config

Il faut éditer les lignes suivantes ( 8, 76, 79 et 98 du fichier dispo ici :

sshd_config.txt
  1. # Lignes a modifier : 8, 77, 80, 90
  2.  
  3.  
  4. # Package generated configuration file
  5. # See the sshd_config(5) manpage for details
  6.  
  7. # What ports, IPs and protocols we listen for
  8. Port TON_PORT
  9.  
  10. # Use these options to restrict which interfaces/protocols sshd will bind to
  11. #ListenAddress ::
  12. #ListenAddress 0.0.0.0
  13. Protocol 2
  14. # HostKeys for protocol version 2
  15. HostKey /etc/ssh/ssh_host_rsa_key
  16. HostKey /etc/ssh/ssh_host_dsa_key
  17. #Privilege Separation is turned on for security
  18. UsePrivilegeSeparation yes
  19.  
  20. # Lifetime and size of ephemeral version 1 server key
  21. KeyRegenerationInterval 3600
  22. ServerKeyBits 768
  23.  
  24. # Logging
  25. SyslogFacility AUTH
  26. LogLevel INFO
  27.  
  28. # Authentication:
  29. LoginGraceTime 120
  30. PermitRootLogin no
  31. StrictModes yes
  32.  
  33. RSAAuthentication yes
  34. PubkeyAuthentication yes
  35. #AuthorizedKeysFile %h/.ssh/authorized_keys
  36.  
  37. # Don't read the user's ~/.rhosts and ~/.shosts files
  38. IgnoreRhosts yes
  39. # For this to work you will also need host keys in /etc/ssh_known_hosts
  40. RhostsRSAAuthentication no
  41. # similar for protocol version 2
  42. HostbasedAuthentication no
  43. # Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
  44. #IgnoreUserKnownHosts yes
  45.  
  46. # To enable empty passwords, change to yes (NOT RECOMMENDED)
  47. PermitEmptyPasswords no
  48.  
  49. # Change to yes to enable challenge-response passwords (beware issues with
  50. # some PAM modules and threads)
  51. ChallengeResponseAuthentication no
  52.  
  53. # Change to no to disable tunnelled clear text passwords
  54. #PasswordAuthentication yes
  55.  
  56. # Kerberos options
  57. #KerberosAuthentication no
  58. #KerberosGetAFSToken no
  59. #KerberosOrLocalPasswd yes
  60. #KerberosTicketCleanup yes
  61.  
  62. # GSSAPI options
  63. #GSSAPIAuthentication no
  64. #GSSAPICleanupCredentials yes
  65.  
  66. X11Forwarding yes
  67. X11DisplayOffset 10
  68. PrintMotd no
  69. PrintLastLog yes
  70. TCPKeepAlive yes
  71. #UseLogin no
  72.  
  73. # Explications a partir de 3 mauvaises connexions le client a 30% de chances de s'en voir refuser une nouvelle
  74. # Cette probabilite augmente lineairement jusqu'a 60 connexions
  75. # a partir de 60 connexions il ne pourra plus se connecter
  76. MaxStartups 3:30:60
  77.  
  78. # Permet d'afficher une banniere (ici c'est le contenu du fichier /etc/issue.net qui sera affiche)
  79. Banner /etc/issue.net
  80.  
  81. # Allow client to pass locale environment variables
  82. AcceptEnv LANG LC_*
  83.  
  84. Subsystem sftp /usr/lib/openssh/sftp-server
  85.  
  86. # Set this to 'yes' to enable PAM authentication, account processing,
  87. # and session processing. If this is enabled, PAM authentication will
  88. # be allowed through the ChallengeResponseAuthentication and
  89. # PasswordAuthentication. Depending on your PAM configuration,
  90. # PAM authentication via ChallengeResponseAuthentication may bypass
  91. # the setting of "PermitRootLogin without-password".
  92. # If you just want the PAM account and session checks to run without
  93. # PAM authentication, then enable this but set PasswordAuthentication
  94. # and ChallengeResponseAuthentication to 'no'.
  95. UsePAM yes
  96.  
  97. # Securise les connexions en specifiant une liste des users authorises a se connecter
  98. AllowUsers PSEUDO_USER1 PSEUDO_USER2

) :

Le port par défaut est le 22, mais il est conseillé de le changer.

  1. Port TON_PORT

A partir de 3 mauvaises connexions le client a 30% de chances de s’en voir refuser une nouvelle.
Cette probabilité augmente linéairement jusqu’à 60 connexions.
A partir de 60 connexions il ne pourra plus se connecter.

  1. MaxStartups 3:30:60

Permet d’afficher une bannière (ici c’est le contenu du fichier /etc/issue.net qui sera affiché).

  1. Banner /etc/issue.net

Sécurise les connexions en spécifiant une liste des users autorisés a se connecter.

  1. AllowUsers PSEUDO_USER1 PSEUDO_USER2

On relance ssh

Cela permet de recharger la config.

/etc/init.d/ssh restart

Plus qu’à se connecter (via Putty par exemple) !

linux/installation/ssh.txt · Dernière modification : 2022/09/03 12:50 de tutospisto