Openbsd

Voici des éléments pour renforcer la sécurité de votre serveur SSH sur OpenBSD. Les modifications s’appliquent au fichier sshd_conf.

Limitation d’accès aux utilisateurs ou groupes d’utilisateurs
Les arguments à compléter au choix sont: AllowUsers, AllowGroups, DenyGroups, DenyUsers.
Vous pouvez aussi restreindre les accès en fonction des adresses IP source: tartanpion@10.0.145.5 sourisdidi@10.0.12.23

Bloquer l’authentification via PAM
ChallengeResponseAuthentication est permis par défaut, ce qui authorise l’authentification avec le mode PAM et ceux spécifiés dans le fichier /etc/login.conf. Si vous n’utilisez ni PAM ni le mécanisme décrits dans le fichier login.conf, changer ChallengeResponseAuthentication à No.

Authentification par password
N’utilisez l’authentification par mot de passe que si cela est strictement nécessaire. Préférez l’utilisation de clés publiques qui sont beaucoup plus sûres et j’insiste sur ce point. Changez dans ce cas le paramètre PasswordAuthentication à No.

Authentification root
Pour bloquer l’authentification directe en superutilisateur ou root, changez l’argument de PermitRootLogin à No.

Protocole SSH
Les protocoles ssh versions 1 et 2 sont authorisées par défaut. Si vous n’utilisez pas le protocole 1 restreignez les connexions ssh au Protocol 2 uniquement.

Redirection X11 ou X11 Forwarding avec SSH
X Window System ou X11 ou encore tout simplement X permet l’affichage graphique en local ou à distance de votre serveur pour faire simple… Si vous n’utilisez pas X en redirection, désactivez les fonctionnalités X11Forwarding et X11UseLocalhost en les mettent à No.

Finalement pour que vos modifications soient prises en compte, relancez le démon sshd: killall -HUP sshd