elnappo.secure_openssh_server

Aperçu Versions Perspectives

rôle-ansible-serveur-openssh-sécurisé

Statut de construction Ansible Galaxy

Configurez une configuration sécurisée pour le serveur OpenSSH >= 6.5. Ce playbook étend votre fichier de configuration sshd au lieu de le remplacer.

  • Désactiver la version 1 de SSH
  • Désactiver RSAAuthentication (disponible uniquement dans la version 1)
  • Ne pas autoriser les mots de passe vides
  • Autoriser la connexion root uniquement sans mot de passe
  • Utiliser StrictModes
  • Autoriser uniquement les KexAlgorithms, Ciphers et MACs recommandés par Secure Secure Shell
  • Supprime les clés d'hôte DSA et ECDSA par défaut. Changez ssh_remove_deprecated_server_keys si ce n'est pas ce que vous souhaitez
  • Régénérer la clé d'hôte RSA si elle est inférieure à 4096 bits (par défaut)
  • Désactiver l'authentification par mot de passe par défaut, ce qui définit également MaxAuthTries 1 et LoginGraceTime 30

Configuration recommandée ~/.ssh/config, /etc/ssh/ssh_config

Host *
    HashKnownHosts yes
    PasswordAuthentication no
    PubkeyAuthentication yes
    ChallengeResponseAuthentication no
    HostKeyAlgorithms ssh-ed25519-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com,ssh-ed25519,ssh-rsa,ecdsa-sha2-nistp521-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256
    KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
    Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
    MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com

alias pour les connexions héritées : alias ssh_ignore="ssh -F /dev/null"

Inspiré par

Exigences

  • Ubuntu ou Debian
  • Serveur OpenSSH >= 6.5 (qui est inclus dans Ubuntu >= 14.04 et Debian >= 8)

Variables du rôle

  • ssh_sshd_config_dir: /etc/ssh/
  • ssh_sshd_config_path: "{{ ssh_sshd_config_dir }}sshd_config"
  • ssh_permit_root_login: "without-password" les guillemets sont obligatoires !
  • ssh_disable_password_login: true
  • ssh_remove_deprecated_server_keys: true désactive DSA, ECDSA et régénère la clé RSA si < ssh_host_rsa_key_length
  • ssh_host_rsa_key_length: 4096
  • ssh_setup_ufw: true
  • ssh_port: 22

Dépendances

Aucune.

Exemple de Playbook

- hosts: serveur
  remote_user: root
  vars:
    - ssh_remove_deprecated_server_keys: false
    - ssh_port: 1813
  roles:
    - { role: elnappo.secure_openssh_server }

Licence

MIT

Informations sur l'auteur

elnappo elnappo@nerdpol.io

À propos du projet

Sets a secure config for openssh server >= 6.5

role networking security ssh system
Installer
ansible-galaxy install elnappo.secure_openssh_server
GitHub référentiel
6 étoiles
2 forks
0 problèmes ouverts
Licence
Unknown
Téléchargements
80
Propriétaire