(Super Secure) Secure Shell simplifié
Regardons les choses en face, sécurisant Secure Shell (ou SSH) peut être aussi déroutant que l'intrigue du film Primer. Mais, comme le film, cela en vaut la peine. Bien que vous puissiez trouver un guide complet sur shell sécurisé sécurisé en ligne, nous allons vous donner un aperçu de certaines des meilleures pratiques à suivre si vous voulez vraiment être en sécurité lors de l'utilisation de SSH. Vous pourriez être surpris de voir à quel point il est facile d'écouter s'il n'est pas configuré correctement.
Meilleures pratiques pour sécuriser SSH
Voici un résumé des principales choses que vous souhaitez examiner attentivement si vous utilisez SSH et souhaitez rester en sécurité.
- Échange de clés - En gros, vous allez vouloir utiliser: Diffie-Hellman ou Elliptic Curve Diffie-Hellman pour faire un échange de clés. En effet, ils fournissent tous les deux un secret de transmission, ce qui rend plus difficile pour les gens de fouiner. Comme vous le savez probablement, OpenSSH prend actuellement en charge 8 protocoles d'échange de clés. Ceux que vous souhaitez utiliser sont courbe25519-sha256: ECDH terminé Curve25519 avec SHA2 OR diffie-hellman-groupe-échange-sha256: DH personnalisé avec SHA2.
- Authentification du serveur - Vous pouvez utiliser quatre algorithmes à clé publique pour l'authentification du serveur. Parmi ces quatre, votre meilleur pari (pour être sécurisé) est d'utiliser RSA avec SHA1 pour vos besoins d'authentification de serveur. L'astuce consiste à vous assurer de désactiver les algorithmes de clé publique que vous n'allez PAS utiliser. Ceci est facilement géré avec quelques commandes. Assurez-vous que vos fichiers init ne rechargent pas les clés que vous ne souhaitez pas utiliser.
- Authentification du client - Après avoir configuré quelque chose de plus sécurisé, vous voulez vous assurer de désactiver l'authentification par mot de passe, qui est vulnérable aux attaques par force brute. Il est préférable d'utiliser l'authentification par clé publique, comme du côté serveur. Une autre option consiste à utiliser OTP (mots de passe à usage unique) afin de rendre plus difficile pour les méchants de fouiner sur votre connexion de données sécurisée pour essayer d'en savoir plus sur vous.
- Authentification d'utilisateur - C'est un aspect important de la configuration d'un serveur pour accepter des connexions SSH vraiment sécurisées. Fondamentalement, vous souhaitez créer une liste blanche d'utilisateurs autorisés. Cela empêchera toute personne ne figurant pas sur la liste de tenter de se connecter. Si vous avez un grand nombre d'utilisateurs qui se connecteront au serveur via SSH, vous voudrez utiliser AllowGroups au lieu de AllowUser, mais cela reste relativement facile à configurer.
- Chiffres symétriques - En ce qui concerne les chiffrements symétriques, vous disposez de quelques algorithmes. Encore une fois, c'est à vous de choisir les meilleurs pour la sécurité. Dans ce cas, vous allez vouloir utiliser chacha20-poly1305@openssh.com, aes256-gcm@openssh.com, aes128-gcm@openssh.com, aes256-ctr, aes192-ctr et aes128-ctr.
- Codes d'authentification des messages - Si vous utilisez un mode de chiffrement AE, vous n'aurez pas à vous soucier des MAC car ils sont déjà inclus. D'un autre côté, si vous avez choisi la route CTR, vous voudrez utiliser MAC pour marquer chaque message. Encrypt-then-MAC est la seule méthode à utiliser si vous voulez vous assurer que vous êtes aussi sûr que possible lors de l'utilisation de SSH.
- Analyse du trafic - Dernier point mais non le moindre, vous allez vouloir utiliser Services cachés Tor pour vos serveurs SSH. En utilisant cela, vous allez rendre la tâche encore plus difficile pour les méchants en ajoutant une autre couche de protection. Si vous n'utilisez pas de réseau local, assurez-vous de le désactiver.
Lorsque vous aurez terminé de vérifier et de modifier tout ce qui précède, vous voudrez exécuter ssh-v afin de vérifier les modifications que vous avez apportées à votre système. Cette simple commande listera tous les algorithmes que vous avez décidé d'utiliser afin que vous puissiez facilement revérifier votre travail.
Aussi, durcissez votre système!
Ce sont de bons conseils pour tous serveur connecté à Internet, mais ils sont également extrêmement utiles pour vous assurer que vos connexions SSH sont aussi sécurisées que possible.
- Installer uniquement les logiciels nécessaires. Plus de code équivaut à plus d'opportunités de bugs et d'exploits qui peuvent être utilisés par des pirates malveillants.
- Utilisez FOSS (Logiciel gratuit / open source) lorsque cela est possible pour vous assurer d'avoir accès au code source. Cela vous permettra de vérifier le code vous-même.
- Mettre à jour votre logiciel aussi souvent que possible. Cela vous aidera à éviter les problèmes connus qui pourraient être exploités par les méchants.
Comme mentionné, les conseils ci-dessus sont des choses que vous devriez faire, que vous essayiez ou non de sécuriser vos connexions SSH au serveur.
Le SSL à emporter
Le point à retenir de SSL est que même si quelque chose a le mot «sécurisé» ou «sécurité» dans son nom, cela ne signifie pas qu'il sera aussi résistant que possible aux attaques si vous ne le configurez pas correctement. Si vous êtes en charge d'un serveur et que vous utilisez fréquemment SSH pour vous y connecter (ou permettre à d'autres de le faire), vous voudrez prendre le temps de le configurer correctement pour vous assurer que vous disposez d'une sécurité maximale.
Chez SSL.com, nous croyons en la Meilleures pratiques SSL aussi facile à comprendre et à mettre en œuvre que possible.
