Forum Linux.général Sélection des algos pour openssh

Posté par ykrons le 12 janvier 2024 à 13:30. Licence CC By‑SA.

Étiquettes :

jan.

2024

Bonjour,

Je cherche à faire le ménage dans les algos autorisés sur mon serveur openssh (pas d'accès public) et j'ai du mal à trouver des ressources à jour.

Je suis retombé sur ce super post: https://linuxfr.org/news/openssh-configuration-des-algorithmes-de-cryptographie mais il date de quelques années et les liens pointés ne sont également plus mis à jour depuis au mieux 2 ans, ce qui me parait un peu vieux.
- ANSSI (https://cyber.gouv.fr/sites/default/files/2014/01/NT_OpenSSH.pdf) - date de 2015
- sshscan (https://github.com/evict/SSHScan) - dernier commit il y a 3 ans
- CryptCheck (https://github.com/aeris/cryptcheck) - dernier commit il y a 2 ans

Est-ce que vous auriez des sources à jour qui listeraient les différents algos et le niveau de risque associé dans le cadre de openssh ?

Merci d'avance

# Quelques trouvailles ...

Posté par ykrons le 12 janvier 2024 à 15:13. Évalué à 6.
Je m'auto-réponds, car j'ai trouvé deux ressources intéressantes:
- l'outil ssh-audit sur https://github.com/jtesta/ssh-audit qui a l'air pas mal. C'est ce qui est utilisé par https://www.ssh-audit.com/ apparemment, mais il a l'avantage de fonctionner si le serveur n'est pas accessible publiquement. Ça a l'air à jour et avec de bonnes descriptions.
Je suis aussi tombé sur CIS Benchmarks (https://learn.cisecurity.org/benchmarks) qui donne des recommandations sur tout un tas d'applis et de distributions dont une partie sur OpenSSH.
J'ai trouvé ça assez bien commenté également. Par contre, il faut donner une adresse email pour obtenir le lien de téléchargement des PDF.
- [^] # Re: Quelques trouvailles ...
  
  Posté par Ellendhel (site web personnel) le 12 janvier 2024 à 19:31. Évalué à 3.
  
  Je n'avais pas trouvé de référence récente non plus lors de mes propre tests : https://www.ellendhel.net/article.php?ref=2022+06+11-0
  
  Avec une nouvelle recherche, j'ai découvert un guide publié par Mozilla qui peut être intéressant : https://infosec.mozilla.org/guidelines/openssh
  
  Concernant les CIS Benchmarks, j'encourage chaudement leur lecture. Il faut savoir que mettre en place les recommandations de niveau 2 (les plus avancées) ne concernent pas tout le monde et peuvent éventuellement causer des incompatibilités.
  - [^] # Re: Quelques trouvailles ...
    
    Posté par Marc Quinton le 13 janvier 2024 à 17:40. Évalué à 3.
    merci pour les infos ; je suis passé d'une note F (47/100) à A+ (100/100) et je vous joins ma conf SSH fonctionnelle sur Ubuntu-Jammy
```
$ cat /etc/ssh/sshd_config.d/hardening-mozilla.conf 
# link: https://infosec.mozilla.org/guidelines/openssh

# Supported HostKey algorithms by order of preference.
HostKey /etc/ssh/ssh_host_ed25519_key
HostKey /etc/ssh/ssh_host_rsa_key
# HostKey /etc/ssh/ssh_host_ecdsa_key

KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
Ciphers ,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com
```
# RFC 9142

Posté par ykrons le 15 janvier 2024 à 12:50. Évalué à 1.

Il y a une RFC de début 2022 qui donne l'état des recommandation avec des commentaires assez intéressants : https://datatracker.ietf.org/doc/rfc9142/

Seul le brouillon de cette RFC est listé dans la page spécifications de OpenSSH (https://www.openssh.com/specs.html)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.

# Quelques trouvailles ...

[^] # Re: Quelques trouvailles ...

[^] # Re: Quelques trouvailles ...

# RFC 9142