Forum Linux.général Sélection des algos pour openssh

Posté par  . Licence CC By‑SA.
5
12
jan.
2024

Bonjour,

Je cherche à faire le ménage dans les algos autorisés sur mon serveur openssh (pas d'accès public) et j'ai du mal à trouver des ressources à jour.

Je suis retombé sur ce super post: https://linuxfr.org/news/openssh-configuration-des-algorithmes-de-cryptographie mais il date de quelques années et les liens pointés ne sont également plus mis à jour depuis au mieux 2 ans, ce qui me parait un peu vieux.
- ANSSI (https://cyber.gouv.fr/sites/default/files/2014/01/NT_OpenSSH.pdf) - date de 2015
- sshscan (https://github.com/evict/SSHScan) - dernier commit il y a 3 ans
- CryptCheck (https://github.com/aeris/cryptcheck) - dernier commit il y a 2 ans

Est-ce que vous auriez des sources à jour qui listeraient les différents algos et le niveau de risque associé dans le cadre de openssh ?

Merci d'avance

  • # Quelques trouvailles ...

    Posté par  . Évalué à 6.

    Je m'auto-réponds, car j'ai trouvé deux ressources intéressantes:

    Je suis aussi tombé sur CIS Benchmarks (https://learn.cisecurity.org/benchmarks) qui donne des recommandations sur tout un tas d'applis et de distributions dont une partie sur OpenSSH.
    J'ai trouvé ça assez bien commenté également. Par contre, il faut donner une adresse email pour obtenir le lien de téléchargement des PDF.

    • [^] # Re: Quelques trouvailles ...

      Posté par  (site web personnel) . Évalué à 3.

      Je n'avais pas trouvé de référence récente non plus lors de mes propre tests : https://www.ellendhel.net/article.php?ref=2022+06+11-0

      Avec une nouvelle recherche, j'ai découvert un guide publié par Mozilla qui peut être intéressant : https://infosec.mozilla.org/guidelines/openssh

      Concernant les CIS Benchmarks, j'encourage chaudement leur lecture. Il faut savoir que mettre en place les recommandations de niveau 2 (les plus avancées) ne concernent pas tout le monde et peuvent éventuellement causer des incompatibilités.

      • [^] # Re: Quelques trouvailles ...

        Posté par  . Évalué à 3.

        merci pour les infos ; je suis passé d'une note F (47/100) à A+ (100/100) et je vous joins ma conf SSH fonctionnelle sur Ubuntu-Jammy

        $ cat /etc/ssh/sshd_config.d/hardening-mozilla.conf 
        # link: https://infosec.mozilla.org/guidelines/openssh
        
        # Supported HostKey algorithms by order of preference.
        HostKey /etc/ssh/ssh_host_ed25519_key
        HostKey /etc/ssh/ssh_host_rsa_key
        # HostKey /etc/ssh/ssh_host_ecdsa_key
        
        KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
        Ciphers ,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
        MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com
        
        
  • # RFC 9142

    Posté par  . Évalué à 1.

    Il y a une RFC de début 2022 qui donne l'état des recommandation avec des commentaires assez intéressants : https://datatracker.ietf.org/doc/rfc9142/

    Seul le brouillon de cette RFC est listé dans la page spécifications de OpenSSH (https://www.openssh.com/specs.html)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.