Lorsque cela est possible, l'installation de l'application virtuelle (format OVF) présente une configuration sécurisée par défaut. Les utilisateurs peuvent vérifier que leur configuration est suffisamment sécurisée en examinant les services serveur et client dans la section d'options globales du fichier de configuration.

Pourquoi et quand exécuter cette tâche

Si possible, limitez l'utilisation du serveur SSH à un sous-réseau de gestion dans le fichier /etc/hosts.allow.

Procédure

  1. Ouvrez le fichier de configuration de serveur /etc/ssh/sshd_config et vérifiez que les paramètres sont corrects.

    Configuration

    Statut

    Protocole démon du serveur

    2

    Chiffrements

    Ciphers aes256-ctr,aes128-ctr

    Transfert TCP

    AllowTCPForwarding no

    Ports de passerelle serveur

    Gateway Ports no

    Transfert X11

    X11Forwarding no

    Service SSH

    Utilisez le champ AllowGroups et spécifiez un groupe bénéficiant d'un accès autorisé. Ajoutez au groupe secondaire les utilisateurs autorisés à utiliser le service.

    Authentification GSSAPI

    GSSAPIAuthentication no, si elle n'est pas utilisée

    Authentification Kerberos

    KerberosAuthentication no, si elle n'est pas utilisée

    Variables locales (option globale AcceptEnv)

    Désactiver par la mise en commentaire ou activer les varialbles LC_* ou LANG seulement

    Configuration de tunnel

    PermitTunnel no

    Sessions réseau

    MaxSessions 1

    Vérification du mode Strict

    Strict Modes yes

    Séparation des privilèges

    UsePrivilegeSeparation yes

    Authentification RSA rhosts

    RhostsRSAAuthentication no

    Compression

    Compression delayed ou Compression no

    Code d'authentification de message

    MACs hmac-sha1

    Restriction d'accès utilisateur

    PermitUserEnvironment no

  2. Enregistrez les modifications et fermez le fichier.