====== SSH ======
**SSH, SSHD et SSLH.**
===== Côté client =====
[[linux:ssh:ssh-client|Partie Client]]

===== Configuration serveur =====
<code bash>nano /etc/ssh/sshd_config</code>
<code bash>
Protocol 2
#Changer le port
port 27022
#On écoute le local pour SSLH
ListenAddress 127.0.0.1
#Utilisateurs
PermitRootLogin no
AllowUsers user_remote
#Temps permis au login
LoginGraceTime 1m
#Temps avant déconnexion auto
ClientAliveInterval 1800
#Pour les clés
PermitEmptyPasswords no
PasswordAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
#HostKey /etc/ssh/ssh_host_dsa_key
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
#Paramètres supplémentaires
UsePrivilegeSeparation sandbox
AuthenticationMethods publickey
KexAlgorithms curve25519-sha256@libssh.org
Ciphers chacha20-poly1305@openssh.com
MACs umac-128-etm@openssh.com,umac-128@openssh.com
Banner /etc/issue.net
LogLevel VERBOSE
X11Forwarding yes
X11UseLocalhost yes</code>
**Reboot service SSH**
<code bash>service sshd restart</code>
===== Entropie =====
Vérifier l'entropie actuelle :
<code bash>cat /proc/sys/kernel/random/entropy_avail</code>
Installer le paquet ''haveged''
<code bash>apt-get install haveged</code>
Revérifier l'entropie :
<code bash>cat /proc/sys/kernel/random/entropy_avail</code>
L'entropie sert à améliorer la génération de nombres aléatoires. Et aide donc pour SSH, mais aussi par exemple la génération de paires de clés.
===== Installation SSLH =====
**SSL + SSH sur port 443.
Installation avec Apache :**
<code bash>apt-get install sslh</code>
**Installation avec Nginx (refuser les paquets recommandés, pour ne pas installer Apache par dessus Nginx) :**
<code bash>apt-get install  --no-install-recommends sslh</code>
**Aller dans le dossier des sites hébergés ("/etc/nginx/site-availables" ou "/etc/apache2/site-availables"), et changer le port d'écoute SSL :**
<code bash>sed -i -e "s/443/27443/g" *</code>
**redémarrer le serveur web (Apache/Nginx).**

===== Configuration SSLH =====
<code bash>nano /etc/default/sslh</code>
<code bash>
RUN=yes
DAEMON_OPTS="--user sslh -t1 --on-timeout ssl --listen 0.0.0.0:443 -ssh 127.0.0.1:27022 -ssl 127.0.0.1:27443 -pidfile /var/run/sslh.pid"</code>
**Démarrer SSLH :**
<code bash>/etc/init.d/sslh start</code>
===== PuTTY =====
Télécharger la dernière version de développement de puttygen: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Pour l'instant, elle seule prend en charge ed25519.

Lancer puttygen, importer la clé privée, et ensuite la sauvegarder au format PuTTY.

Il suffit enfin de la charger dans PuTTY, via le menu de gauche : "Connexion\SSH\Auth".


===== Passer root dans une session SFTP =====
Avoir son user prêt, avec un accès SSH et dans les sudoers.
On édite l'utilisateur :
<code bash>visudo</code>
Avoir une ligne du style :
<code bash>liandri ALL = (ALL) NOPASSWD: ALL</code>
  * **liandri** : mon user,
  * **ALL =** : s'applique à tous les hosts,
  * **(ALL)** : peut exécuter en tant que n'importe quel groupe/user,
  * **NOPASSWD**: : le tout sans mot de passe,
  * **ALL ** : peut exécuter toutes les commandes.

On recherche l'exécutable //**sftp-server**// pour vérifier son emplacement :
<code bash>whereis sftp-server</code>
Qui nous renvoie normalement : "//**/usr/lib/sftp-server**//".

Maintenant, dans la fenêtre du client SFTP, ici WinSCP, aller dans les options avancées,
menu "//**Environnement > SFTP**//", et changer l'option "//**serveur SFTP**//" en :
<code bash>sudo -s  {mon path vers sftp-server}</code>
Soit :
<code bash>sudo -s  /usr/lib/sftp-server</code>