Lorsque cela est possible, l'installation de l'application virtuelle (format OVF) présente une configuration sécurisée par défaut. Les utilisateurs peuvent vérifier que leur configuration est suffisamment sécurisée en examinant les services serveur et client dans la section d'options globales du fichier de configuration.

Si possible, limitez l'utilisation du serveur SSH à un sous-réseau de gestion dans le fichier /etc/hosts.allow.

Procédure

  1. Ouvrez le fichier de configuration de serveur /etc/ssh/sshd_config et vérifiez que les paramètres sont corrects.
    Paramètre État
    Protocole démon du serveur 2
    Chiffrements aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
    Transfert TCP AllowTCPForwarding no
    Ports de passerelle serveur Gateway Ports no
    Transfert X11 X11Forwarding no
    Service SSH Utilisez le champ AllowGroups et spécifiez un groupe bénéficiant d'un accès autorisé. Ajoutez au groupe secondaire les utilisateurs autorisés à utiliser le service.
    Authentification GSSAPI GSSAPIAuthentication no, si elle n'est pas utilisée
    Authentification Kerberos KerberosAuthentication no, si elle n'est pas utilisée
    Variables locales (option globale AcceptEnv) Désactiver par la mise en commentaire ou activer les varialbles LC_* ou LANG seulement
    Configuration de tunnel PermitTunnel no
    Sessions réseau MaxSessions 1
    Vérification du mode Strict Strict Modes yes
    Séparation des privilèges UsePrivilegeSeparation yes
    Authentification RSA rhosts RhostsRSAAuthentication no
    Compression Compression delayed ou Compression no
    Code d'authentification de message hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha1-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-sha1
    Restriction d'accès utilisateur PermitUserEnvironment no
    KexAlgorithms diffie-hellman-group14-sha1,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521
  2. Enregistrez les modifications et fermez le fichier.