Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 08/11/2022, à 18:01

giovanna89

renforcement sécurité ssh

Bonjour,

J'ai une question sur la sécurité ssh.
J'ai lu qu'il était possible d'ajouter des paramètres supplémentaires concernant la sécurité dans le fichier "sshd_config" en :
_désactivant des algorithmes de chiffrement SSH faibles : Ciphers chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
_en désactivant le chiffrement non sécurisé : NoneEnabled no

Ces deux paramètres sont-ils deux choses différentes ou bien l'un est plus restrictif que l'autre ?

Cordialement

Hors ligne

#2 Le 08/11/2022, à 19:31

matrix-bx

Re : renforcement sécurité ssh

Bonsoir,

As-tu consulté le man sshd_config ?

Ciphers
             Specifies the ciphers allowed.  Multiple ciphers must be comma-separated.  If the specified list begins with a ‘+’ character, then
             the specified ciphers will be appended to the default set instead of replacing them.  If the specified list begins with a ‘-’ char‐
             acter, then the specified ciphers (including wildcards) will be removed from the default set instead of replacing them.  If the
             specified list begins with a ‘^’ character, then the specified ciphers will be placed at the head of the default set.

             The supported ciphers are:

                   3des-cbc
                   aes128-cbc
                   aes192-cbc
                   aes256-cbc
                   aes128-ctr
                   aes192-ctr
                   aes256-ctr
                   aes128-gcm@openssh.com
                   aes256-gcm@openssh.com
                   chacha20-poly1305@openssh.com

             The default is:

                   chacha20-poly1305@openssh.com,
                   aes128-ctr,aes192-ctr,aes256-ctr,
                   aes128-gcm@openssh.com,aes256-gcm@openssh.com

             The list of available ciphers may also be obtained using "ssh -Q cipher".

Par contre pas trouvé de référence à "NoneEnabled" sur la version dont je dispose (OpenSSH_8.4p1 Debian-5+deb11u1)
Une recherche me pointe vers FreeNAS, c'est de cela dont il s'agit ?

Dernière modification par matrix-bx (Le 11/11/2022, à 13:15)


Utilisations des balises de mises en formes.

Hors ligne

#3 Le 10/11/2022, à 09:18

giovanna89

Re : renforcement sécurité ssh

Bonjour,

Je tente de mettre en place une connexion ssh sécurisée entre mon NAS (freenas) et mon pc (ubuntu). J'ai réussi avec un peu de mal.
Oui j'avais bien lu la documentation, d'où justement mes questions.
En effet, sur la doc freebsd comme sur la doc ubuntu, les mêmes "ciphers" sont proposés.
Or sur cette page de recommandations (tout en bas), il est conseillé de désactiver les "ciphers" vulnérables en ajoutant la ligne des ciphers autorisés donnés dans mon premiers post.
Toutefois sur cette page, il est conseillé effectivement d'ajouter "NoneEnbled no" comme paramètres.

Après avoir testé ces différents paramètres sur le serveur, à chaque fois la commande "ssh -Q cipher" me retourne toujours la même chose :

 
root@freenas[~]# ssh -Q cipher
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com
root@freenas[~]#

Du coup je n'arrive pas à savoir si les paramètres ajoutés ont bien été pris en compte. Et la différence avec le paramètre "NoneEnabled No".

Par ailleurs, je n'arrive pas à savoir si les deux pages de recommandations donnent deux conseils différents, complémentaires, ou bien si c'est la même chose mais l'un est plus restrictif que l'autre.

Et côté client, dois-je faire la même chose

Effectivement, je n'avais pas vu que le paramètre "NoneEnabled" n'existait pas sur linux. je pensais que les implémentations de openssh sur bsd et linux était identiques. Visiblement, il y a quelques petites différences.

Du coup je suis un peu perdu.

Cordialement

Hors ligne