Pages : 1
#1 Le 08/11/2022, à 18:01
- giovanna89
renforcement sécurité ssh
Bonjour,
J'ai une question sur la sécurité ssh.
J'ai lu qu'il était possible d'ajouter des paramètres supplémentaires concernant la sécurité dans le fichier "sshd_config" en :
_désactivant des algorithmes de chiffrement SSH faibles : Ciphers chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
_en désactivant le chiffrement non sécurisé : NoneEnabled no
Ces deux paramètres sont-ils deux choses différentes ou bien l'un est plus restrictif que l'autre ?
Cordialement
Hors ligne
#2 Le 08/11/2022, à 19:31
- matrix-bx
Re : renforcement sécurité ssh
Bonsoir,
As-tu consulté le man sshd_config ?
Ciphers
Specifies the ciphers allowed. Multiple ciphers must be comma-separated. If the specified list begins with a ‘+’ character, then
the specified ciphers will be appended to the default set instead of replacing them. If the specified list begins with a ‘-’ char‐
acter, then the specified ciphers (including wildcards) will be removed from the default set instead of replacing them. If the
specified list begins with a ‘^’ character, then the specified ciphers will be placed at the head of the default set.
The supported ciphers are:
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com
The default is:
chacha20-poly1305@openssh.com,
aes128-ctr,aes192-ctr,aes256-ctr,
aes128-gcm@openssh.com,aes256-gcm@openssh.com
The list of available ciphers may also be obtained using "ssh -Q cipher".Par contre pas trouvé de référence à "NoneEnabled" sur la version dont je dispose (OpenSSH_8.4p1 Debian-5+deb11u1)
Une recherche me pointe vers FreeNAS, c'est de cela dont il s'agit ?
Dernière modification par matrix-bx (Le 11/11/2022, à 13:15)
Utilisations des balises de mises en formes.
Hors ligne
#3 Le 10/11/2022, à 09:18
- giovanna89
Re : renforcement sécurité ssh
Bonjour,
Je tente de mettre en place une connexion ssh sécurisée entre mon NAS (freenas) et mon pc (ubuntu). J'ai réussi avec un peu de mal.
Oui j'avais bien lu la documentation, d'où justement mes questions.
En effet, sur la doc freebsd comme sur la doc ubuntu, les mêmes "ciphers" sont proposés.
Or sur cette page de recommandations (tout en bas), il est conseillé de désactiver les "ciphers" vulnérables en ajoutant la ligne des ciphers autorisés donnés dans mon premiers post.
Toutefois sur cette page, il est conseillé effectivement d'ajouter "NoneEnbled no" comme paramètres.
Après avoir testé ces différents paramètres sur le serveur, à chaque fois la commande "ssh -Q cipher" me retourne toujours la même chose :
root@freenas[~]# ssh -Q cipher
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
aes128-gcm@openssh.com
aes256-gcm@openssh.com
chacha20-poly1305@openssh.com
root@freenas[~]#Du coup je n'arrive pas à savoir si les paramètres ajoutés ont bien été pris en compte. Et la différence avec le paramètre "NoneEnabled No".
Par ailleurs, je n'arrive pas à savoir si les deux pages de recommandations donnent deux conseils différents, complémentaires, ou bien si c'est la même chose mais l'un est plus restrictif que l'autre.
Et côté client, dois-je faire la même chose
Effectivement, je n'avais pas vu que le paramètre "NoneEnabled" n'existait pas sur linux. je pensais que les implémentations de openssh sur bsd et linux était identiques. Visiblement, il y a quelques petites différences.
Du coup je suis un peu perdu.
Cordialement
Hors ligne
Pages : 1