Rodolphe Breard propose une configuration sécurisée pour OpenSSH, en insistant sur l’utilisation exclusive de l’algorithme Ed25519 pour les clés (serveur et client) et en désactivant RSA et ECDSA, jugés moins sûrs. Pour l’échange de clés, il recommande l’algorithme post-quantique hybride mlkem768x25519-sha256
(basé sur ML-KEM et X25519), disponible depuis OpenSSH 9.9, et suggère de bannir les anciennes versions ne supportant pas ces algorithmes. Côté chiffrement, seuls les algorithmes AEAD (comme chacha20-poly1305@openssh.com
ou aes256-gcm@openssh.com
) sont conservés, avec des MAC en mode encrypt-then-mac. L’authentification par mot de passe est désactivée, ainsi que les options comme UsePAM
, AllowTcpForwarding
ou X11Forwarding
, tout en limitant les tentatives de connexion et en renforçant les permissions. La configuration est modulaire, avec des fichiers séparés pour les paramètres génériques et les utilisateurs autorisés. Enfin, l’outil ssh-audit est conseillé pour vérifier la robustesse de la configuration. Une approche pragmatique pour se prémunir contre les attaques, y compris celles liées à l’informatique quantique future.
Tout est dans le titre
Canonical a décidé qu'OpenSSH utilisera le socket systemd... donc le port d'écoute ne sera plus configuré dans /etc/ssh/sshd_config
Tout est dans le titre
La liste des astuces :
- ipcalc pour IPv6 ?
- Des sons de vague dans le terminal ?
- OpenSSH et format de clé privée « legacy »
- Liveness Probe sur container php-fpm dans Kubernetes ?
- Obtenir l’uptime d’un container ?
- Faire le total des pages des supports PDF en ligne de commande
- MongoDB est un con
- Vérifier les services en erreurs
- Pas de dig ? Les alternatives !
- Ansible : environnement conditionné !
- Ubuntu et WSL : mais c’est quoi ce masque ?
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Plein de renseignements utiles sur OpenSSH
Tout est dans le titre
Tout est dans le titre