[Tuto/HowTo] [GNU/Linux] Sécuriser utilisateur dédié pour Proxy/Tunneling SSH

Avatar du membre
voxdemonix
Messages : 1336
Enregistré le : lun. févr. 02, 2015 7:28 pm

[Tuto/HowTo] [GNU/Linux] Sécuriser utilisateur dédié pour Proxy/Tunneling SSH

Message par voxdemonix » dim. sept. 25, 2016 5:41 pm

Sécuriser utilisateur dédié côté serveur pour Proxy/Tunneling SSH

Introduction
  • Dans ce tutoriel nous allons mettre en place un utilisateur dédié pour le proxy/tunneling SSH. Cet utilisateur pourra même être utilisé sur des machines "corrompues" sans risquer directement la sécurité du serveur. En effet cet utilisateur ne pourra pas lancer de commande sur le serveur ni s'en servir pour joindre des IP:Port non autorisé.
    Il ne pourra attaquer que les services locaux du serveurs, et, encore uniquement sur les ports que vous aurez autorisé (sauf si vous les autorisez tous).
    [_ReveDodo_]
    Si vous ne comprenez pas quel est l’intérêt du proxy/tunneling SSH, je vous invite a jeter un œil sur les tuto suivants :
Farm Link Mise en Place
  1. Créez votre utilisateur dédié
  2. Générez les clés de sécurité de l'user
    • Code : Tout sélectionner

      su jeSuisUnUser
      ssh-keygen -t ed25519 -o -a 100
      ssh-keygen -t rsa -b 4096 -o -a 100
      
      • jeSuisUnUser le pseudo de votre utilisateur sur le serveur
        -o -a 100 : permet de faire boucler l’algorithme 100 fois
        -b 4096 : précise qu'on veut une clés a 4096 bits
        -t rsa : on utilise l’algorithme RSA
        -t ed25519 : on utilise l'algorithme EdDSA
  3. Supprimez le Shell de l'utilisateur
    note : cela va complètement supprimer la possibilité d’exécuter des commandes pour l'utilisateur spécifié, dont la commande "ssh-copy-id" utilisée pour l'export de la clé publique.
    • Code : Tout sélectionner

      sudo usermod -s /bin/false jeSuisUnUser
      Pour revenir en arrière et ré-activer le shell de l'utilisateur avant l'export d'une nouvelle clé lancez la commande suivante en adaptant votre utilisateur :
  4. Éditez /etc/ssh/sshd/config
  5. Ajoutez les lignes suivantes en adaptant à vos besoins
    • Code : Tout sélectionner

      Match user jeSuisUnUser
              PermitOpen 127.0.0.1:*
      • jeSuisUnUser votre utilisateur dédié
        PermitOpen 127.0.0.1:* Hostname:Port, ajoutez autant de valeur que vous le souhaitez; utilisez le caractère * pour signifier "tous".
  6. Redémarrez le serveur SSH
~ Infernalis Creatorem ~
  • Rejoins le côté obscure, on a des cookies !
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
Donation Dash : XmowiBRku3tsEREp7PhpheY4TgeLLDyKdM

Qui est en ligne

Utilisateurs parcourant ce forum : CommonCrawl [Bot] et 0 invité