Ce howto a été écrit au départ pour debian etch puis a été adapté pour debian lenny. Il reste cependant valable la plupart du temps pour ces deux versions de debian. OpenSSH est une implémentation libre du protocole SSH permettant des communications sécurisées. OpenSSH fournit les outils suivants :

• ssh, le client ssh, et un remplaçant pour rlogin et telnet.
• scp, un remplaçant pour rcp, permet la copie de fichiers.
• sftp, un remplaçant pour ftp.
• sshd, le démon SSH

Installation

Utilisez aptitude pour installer le serveur openssh :

aptitude install openssh-server

Modification du fichier sshd_config

Le fichier /etc/ssh/sshd_config permet de définir des options agissant sur le daemon sshd. Éditez ce fichier et ajoutez ou modifiez les lignes suivantes si nécessaire :

Port 22
ListenAddress 192.168.51.1
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
ServerKeyBits 1024
LoginGraceTime 120
KeyRegenerationInterval 3600
PermitRootLogin no
IgnoreRhosts yes
IgnoreUserKnownHosts yes
StrictModes yes
X11Forwarding no
PrintMotd yes
SyslogFacility AUTH
LogLevel INFO
RhostsAuthentication no
RhostsRSAAuthentication no
RhostbasedAuthentication no
RSAAuthentication yes
PubkeyAuthentication yes
PasswordAuthentication yes
PermitEmptyPasswords no
MaxAuthTries 4
AllowUsers pfoo jonass

• Port : spécifie le port sur lequel le serveur ssh doit écouter. Par défaut, le port 22 est utilisé. Certaines personnes préfèrent utiliser un autre port afin de réduire les risques d'attaques, principalement par brute force. Personnellement, je trouve cela inutile du moment qu'on a bien configuré sshd.
• ListenAddress : spécifie l'adresse ip sur laquelle le serveur ssh écoute. Par défaut, ssh écoute sur l'ip 0.0.0.0 (il écoutera donc toutes les ips configurée sur la machine).
• Protocol : spécifie la version du protocole ssh qu'il faut utiliser. Il est préférable (voir impératif...) d'utiliser la version 2.
• HostKey : spécifie les fichiers où sont stockés la clé privé.
• ServerKeyBits : spécifie le nombre de bits à utiliser pour la clé éphémère du serveur. Cette valeur est utilisée lors de la génération de la clé lors du lancement de openssh (pour le protocole SSH v1 uniquement).
• LoginGraceTime : spécifie le temps (en seconde) que le serveur va attendre avant de déconnecter un utilisateur ne s'étant pas logué avec succès.
• KeyRegenerationInterval : spécifie combien de temps le serveur va attendre avant de régénérer automatiquement sa clé.
• PermitRootLogin : spécifie si l'utilisateur root peut se loguer en utilisant ssh. Désactiver cette option permet d'augmenter sensiblement la sécurité en se prévenant des attaques de type brute-force sur l'utilisateur root. Pour n'autoriser que le login par clé utilisez l'argument without-password au lieu de no
• IgnoreRhosts : spécifie si les fichiers ~/.rhosts et ~/.shosts ne doivent pas être utilisé. Il est recommandé de mettre cette option à yes pour des raisons de sécurité.
• IgnoreUserKnownHosts : spécifie si le fichier ~/.ssh/known_hosts doit être ignoré lors d'une RhostsRSAAuthentication.
• StrictModes : spécifie si le serveur ssh doit vérifier les permissions des utilisateurs dans leur répertoire home et leur fichier rhosts avant d'accepter le login. Il est recommandé de conserver cette option à la valeur yes car les utilisateurs peuvent laisser -par erreur- leurs fichiers/dossiers en lecture totale.
• X11Forwarding : spécifie si le forwarding X11 doit être activé. Inutile dans le cas d'un serveur sans environnement graphique.
• PrintMotd : spécifie si le fichier /etc/motd doit être affiché lorsqu'un utilisateur se logue. Je vous recommande de générer un joli motd avec le paquet linuxlogo.
• SyslogFacility : spécifie le code syslog à utiliser pour loguer les messages de sshd. Ce code spécifie le système qui a produit le message (AUTH dans notre cas).
• LogLevel : spécifie le niveau de log à utiliser. INFO est généralement utilisé.
• RhostsAuthentication : spécifie si sshd peut essayer d'utiliser les authentifications basé sur rhosts. Pour des problèmes de sécurité, il est peut recommandé d'activer cette option (protocole SSHv1 uniquement).
• RhostsRSAAuthentication : spécifie si le serveur ssh doit essayer d'utiliser les authentifications rhosts en concert avec les authentifications RSA (SSHv1 uniquement).
• HostbasedAuthentication : spécifie s'il faut autoriser une authentification par rhost en concert avec une authentification par clé publique de la machine distante. Cette option est similaire à RhostsRSAAuthentication pour SSHv2.
• RSAAuthentication : spécifie si le serveur doit utiliser l'authentification RSA. Cette option doit être yes pour augmenter la sécurité.
• PubkeyAuthentication : spécifie si les authentifications par clé publique sont activés.
• PasswordAuthentication : spécifie si les authentifications basés sur le password doivent être activés.
• PermitEmptyPasswords : spécifie s'il doit être possible de se loguer sans entrer de mot-de-passe.
• AllowUsers : spécifie que seul les utilisateurs listés par cette ligne seront autorisés à se loguer. Il faut séparer les utilisateurs par un espace. Il est possible de préciser l'ip autorisée à se loguer avec une entrée de la forme login@ip.
• AllowGroups : spécifie que seul les utilisateurs membres des groupes donnés ici seront autorisés à se connecter.
• MaxStartups : cette option permet de limiter le nombre de connexion. La valeur 10:30:60 signifie par exemple qu'on accepte 10 connexions sans qu'un utilisateur n'ait réussi à s'identifier. Si le nombre de connexion passe au dessus de 10, il y a 30% de chances que les tentatives suivantes soient bloquées. Les chances de blocage augmentent de manière linéaire jusqu'à bloquer 60% des connexions.
• MaxAuthTries : spécifie le nombre de tentative d'authentification avant que la session ssh soit refermée (cette option permet de ralentir les attaques par bruteforce).

Les fichiers relatifs à openssh

• /etc/ssh/sshd_config : contient la configuration pour le serveur sshd.
• /etc/ssh/ssh_config : contient la configuration globale pour le client ssh.
• /etc/ssh/ssh_host_key, /etc/ssh/ssh_host_dsa_key, /etc/ssh/ssh_host_rsa_key : ces fichiers contiennent les clés privés de la machine. Ils ne doivent appartenir que à root, et n'avoir des droits que pour root, sinon sshd ne démarre pas.
• /etc/ssh/ssh_host_key.pub, /etc/ssh/ssh_host_dsa_key.pub, /etc/ssh/ssh_host_rsa_key.pub : ces fichiers contiennent les clés publiques de la machine. Ils ne doivent être accessible en écriture que par root, mais doivent être lisible par tous. Ces fichiers sont crées avec ssh-keygen.
• $HOME/.ssh/authorized_keys : Ce fichier contient la liste des clés publiques (RSA, DSA) qui peuvent être utilisés pour se connecter avec le compte correspondant à $HOME.
• /etc/ssh/ssh_known_hosts et $HOME/.ssh/known_hosts : Ces fichiers définissent les clés des machines distantes auxquels on se connecte. Cela permet de savoir si on se connecte bien à la bonne machine distante. Lorsque vous établissez pour la première fois une connexion ssh vers une machine, ssh vous demandera s'il doit ajouter la clé à la liste. /etc/ssh/ssh_known_hosts doit être lisible par tous le monde, et writable uniquement pas root.
• /etc/nologin : Lorsque ce fichier existe, personne ne peut se connecter en ssh à l'exception de root. Le contenu de ce fichier est renvoyé aux personnes essayant de se connecter. Généralement, ce fichier est créé pendant que la machine boot pour éviter que des utilisateurs ne se connectent trop tôt. Si vous avez interdit le login root, ce système peut poser de sérieux problème. Pour le désactiver, il faut commenter la ligne account required pam_nologin.so du fichier /etc/pam.d/ssh.
• /etc/hosts.allow, /etc/hosts.deny : La liste des hosts ayant le droit/n'ayant pas le droit de se connecter. Ces fichiers ne concernent pas uniquement ssh, mais toutes les connexions ip.