Hardened ssh

Référence : 

 

 https://korben.info/ssh-audit-outil-indispensable-securiser-vos-serveurs.html 

 

 Supprimer les algos d'échange de clefs 

 Ajouter a sshd_config : 

 # Key Exchange

KexAlgorithms -ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,ecdsa-sha2-nistp256,hmac-sha1,ecdsa-sha2-nistp256

 

 Supprimer les hosts key type vulnérables 

 Supprimer les fichiers : 

 

 /etc/ssh/ssh_host_ecdsa_key 

 /etc/ssh/ssh_host_ecdsa_key.pub 

 

 Supprimer les algos MACs vulnérables 

 Ajouter a sshd_config : 

 MACs -hmac-sha1,hmac-sha1-etm@openssh.com,hmac-sha2-256,hmac-sha2-512,sntrup761x25519-sha512@openssh.com,umac-128@openssh.com,umac-64-etm@openssh.com,umac-64@openssh.com 

 Résumé avec une conf adequat 

 KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org

Ciphers aes256-gcm@openssh.com,aes128-gcm@openssh.com

MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com