Rodolphe Breard propose une configuration sécurisée pour OpenSSH, en insistant sur l’utilisation exclusive de l’algorithme Ed25519 pour les clés (serveur et client) et en désactivant RSA et ECDSA, jugés moins sûrs. Pour l’échange de clés, il recommande l’algorithme post-quantique hybride mlkem768x25519-sha256
(basé sur ML-KEM et X25519), disponible depuis OpenSSH 9.9, et suggère de bannir les anciennes versions ne supportant pas ces algorithmes. Côté chiffrement, seuls les algorithmes AEAD (comme chacha20-poly1305@openssh.com
ou aes256-gcm@openssh.com
) sont conservés, avec des MAC en mode encrypt-then-mac. L’authentification par mot de passe est désactivée, ainsi que les options comme UsePAM
, AllowTcpForwarding
ou X11Forwarding
, tout en limitant les tentatives de connexion et en renforçant les permissions. La configuration est modulaire, avec des fichiers séparés pour les paramètres génériques et les utilisateurs autorisés. Enfin, l’outil ssh-audit est conseillé pour vérifier la robustesse de la configuration. Une approche pragmatique pour se prémunir contre les attaques, y compris celles liées à l’informatique quantique future.
25821 shaares