Geo le 6 octobre 2025 à 07:00

2025-10-06T07:00:01Z

← Version précédente		Version du 6 octobre 2025 à 09:00
Ligne 325 :		Ligne 325 :

	-----		-----
	[[Catégorie: Linux]]		[[Catégorie: Linux]] [[Catégorie: Debian]]

Geo : Page créée avec « Le fichier `~/.ssh/config` dans Debian (et plus généralement sous Linux/Unix) est un '''fichier de configuration pour le client SSH'''. Il permet de définir des paramètres personnalisés pour vos connexions SSH, afin d’éviter de retaper des options à chaque commande. === '''À quoi sert-il ?''' === * Simplifier les connexions SSH en définissant des alias. * Spécifier des options par hôte (serveur) : utilisateur, port, clé privée, etc. *... »

2025-09-26T08:14:32Z

Page créée avec « Le fichier <code>~/.ssh/config</code> dans Debian (et plus généralement sous Linux/Unix) est un '''fichier de configuration pour le client SSH'''. Il permet de définir des paramètres personnalisés pour vos connexions SSH, afin d’éviter de retaper des options à chaque commande. === '''À quoi sert-il ?''' === * Simplifier les connexions SSH en définissant des alias. * Spécifier des options par hôte (serveur) : utilisateur, port, clé privée, etc. *... »

Nouvelle page

Le fichier <code>~/.ssh/config</code> dans Debian (et plus généralement sous Linux/Unix) est un '''fichier de configuration pour le client SSH'''. Il permet de définir des paramètres personnalisés pour vos connexions SSH, afin d’éviter de retaper des options à chaque commande.

=== '''À quoi sert-il ?''' ===

* Simplifier les connexions SSH en définissant des alias.
* Spécifier des options par hôte (serveur) : utilisateur, port, clé privée, etc.
* Gérer plusieurs clés SSH ou serveurs sans conflit.
* Activer des fonctionnalités comme le '''tunnel''', le '''proxy''', ou le '''forwarding'''.

-----

=== '''Exemple typique de contenu :''' ===

<pre class="ssh">Host serveur1
HostName 192.168.1.10
User john
Port 2222
IdentityFile ~/.ssh/id_rsa

Host github
HostName github.com
User git
IdentityFile ~/.ssh/id_ed25519</pre>
Avec ce fichier : - Pour se connecter à <code>serveur1</code>, il suffit de taper : <code>bash ssh serveur1</code> (au lieu de <code>ssh john@192.168.1.10 -p 2222 -i ~/.ssh/id_rsa</code>)

* Pour GitHub, Git utilisera automatiquement la bonne clé.

Voici ce que tu cherches :

-----

=== ✅ '''Options les plus utiles dans <code>~/.ssh/config</code>''' ===

Chaque option peut être définie globalement ou par '''bloc <code>Host</code>'''.

{| class="wikitable"
|-
! '''Option'''
! '''Description'''
|-
| <code>Host</code>
| Alias pour le serveur (ex. <code>serveur1</code>).
|-
| <code>HostName</code>
| Nom DNS ou IP du serveur.
|-
| <code>User</code>
| Nom d’utilisateur pour la connexion SSH.
|-
| <code>Port</code>
| Port SSH (par défaut : 22).
|-
| <code>IdentityFile</code>
| Chemin vers la clé privée à utiliser.
|-
| <code>ProxyJump</code>
| Permet de passer par un serveur intermédiaire (jump host).
|-
| <code>ForwardAgent</code>
| Active le transfert d’agent SSH (<code>yes</code>/<code>no</code>).
|-
| <code>ServerAliveInterval</code>
| Intervalle (en secondes) pour envoyer un keep-alive et éviter la déconnexion.
|-
| <code>ServerAliveCountMax</code>
| Nombre de keep-alive avant coupure.
|-
| <code>StrictHostKeyChecking</code>
| <code>yes</code> = refuse les hôtes inconnus, <code>no</code> = accepte sans confirmation (⚠️ peu sécurisé).
|-
| <code>UserKnownHostsFile</code>
| Fichier où sont stockées les empreintes des hôtes (par défaut <code>~/.ssh/known_hosts</code>).
|-
| <code>LogLevel</code>
| Niveau de verbosité (<code>QUIET</code>, <code>INFO</code>, <code>VERBOSE</code>, <code>DEBUG</code>).
|}

-----

==== '''Exemple complet''' ====

<pre class="ssh">Host serveur1
HostName 192.168.1.10
User john
Port 2222
IdentityFile ~/.ssh/id_rsa
ServerAliveInterval 60
ServerAliveCountMax 3

Host github
HostName github.com
User git
IdentityFile ~/.ssh/id_ed25519
StrictHostKeyChecking yes</pre>

-----

=== ✅ '''Guide pour sécuriser et tester <code>~/.ssh/config</code>''' ===

==== '''1. Droits d’accès''' ====

<ul>
<li>Le fichier doit être lisible uniquement par l’utilisateur :
<syntaxhighlight lang="bash">chmod 600 ~/.ssh/config</syntaxhighlight></li>
<li>Le dossier <code>~/.ssh</code> doit avoir :
<syntaxhighlight lang="bash">chmod 700 ~/.ssh</syntaxhighlight></li></ul>

==== '''2. Vérifier la syntaxe''' ====

<ul>
<li>SSH ne propose pas de commande dédiée, mais tu peux tester avec :
<syntaxhighlight lang="bash">ssh -G alias</syntaxhighlight>
Cela affiche la configuration complète appliquée pour <code>alias</code>.</li></ul>

==== '''3. Tester la connexion''' ====

<ul>
<li>Simplement :
<syntaxhighlight lang="bash">ssh -v alias</syntaxhighlight>
(<code>-v</code> = verbose, pour déboguer)</li></ul>

==== '''4. Bonnes pratiques''' ====

<ul>
<li>'''Ne jamais mettre <code>StrictHostKeyChecking no</code>''' en production.</li>
<li>'''Utiliser des clés fortes''' (ed25519 ou RSA ≥ 4096 bits).</li>
<li>'''Éviter les mots de passe''' → préférer les clés SSH.</li>
<li>'''Limiter les permissions''' sur les clés privées :
<syntaxhighlight lang="bash">chmod 600 ~/.ssh/id_*</syntaxhighlight></li></ul>

-----

Voici un '''modèle <code>~/.ssh/config</code> durci (sécurité renforcée)''' avec '''commentaires ligne par ligne''', puis un '''guide pas à pas pour sécuriser et tester'''. 
Tout est compatible Debian/OpenSSH récents (Bookworm et +).

-----

=== 🔐 Modèle <code>~/.ssh/config</code> – sécurité renforcée + commentaires ===

<blockquote>Place ce fichier dans <code>~/.ssh/config</code> et assure-toi des permissions indiquées plus bas.
</blockquote>
<pre class="ssh"># =========================
# Fichier : ~/.ssh/config
# Objectif : Sécurité renforcée + lisibilité
# =========================

# ---- Valeurs par défaut applicables à tous les hôtes ----
Host *
# N'utiliser que l'authentification par clé (pas de mot de passe)
PubkeyAuthentication yes
PreferredAuthentications publickey
PasswordAuthentication no
KbdInteractiveAuthentication no
GSSAPIAuthentication no # sauf si tu utilises Kerberos/AD

# N'offrir que les clés explicitement listées (évite l'énumération de clés)
IdentitiesOnly yes

# Ne JAMAIS transférer l'agent par défaut (réduit le risque de vol d'identité)
ForwardAgent no
ForwardX11 no

# Integrity & protection contre les attaques de type MITM
StrictHostKeyChecking yes # refuser les hôtes inconnus
HashKnownHosts yes # hash les noms dans known_hosts
UserKnownHostsFile ~/.ssh/known_hosts
UpdateHostKeys ask # facilite la rotation des clés hôte, mais te demande

# Si ton DNS est signé DNSSEC + SSHFP publié, tu peux activer :
# VerifyHostKeyDNS yes

# Robustesse (évite les déconnexions silencieuses)
ServerAliveInterval 60
ServerAliveCountMax 3
TCPKeepAlive yes

# Multiplexage (plus rapide, avec prudence)
ControlMaster auto
ControlPersist 10m
ControlPath ~/.ssh/ctl/%C # nécessite le dossier ~/.ssh/ctl (700)

# Limiter la durée/taille avant re-clé (bon hygiène crypto)
RekeyLimit 1G 1h

# Journalisation standard (utilise -vvv pour debug ponctuel)
LogLevel INFO

# N'ajoute pas automatiquement des clés à l'agent (évite les surprises)
AddKeysToAgent ask

# Nettoyer tout port forwarding hérité d'une session multiplexée
ClearAllForwardings yes

# ---- Exemple : bastion / jump host ----
Host bastion
HostName bastion.exemple.org
User john
Port 22
IdentityFile ~/.ssh/id_ed25519_bastion

# Bastion : on peut être plus strict (aucun port forwarding)
ForwardAgent no
LocalForward
RemoteForward

# ---- Exemple : serveurs internes accessibles via le bastion ----
Host intra-*.exemple.org
User admin
Port 22
IdentityFile ~/.ssh/id_ed25519_intra
ProxyJump bastion

# Optionnel : séparer les empreintes des hôtes internes
UserKnownHostsFile ~/.ssh/known_hosts_intra

# ---- Exemple : GitHub ----
Host github
HostName github.com
User git
IdentityFile ~/.ssh/id_ed25519_github
IdentitiesOnly yes
# Astuce : pré-semer l’empreinte GitHub dans known_hosts (voir guide)
# et tester avec : ssh -T git@github.com

# ---- Exemple : serveur spécifique avec port non standard ----
Host prod-db
HostName 203.0.113.42
User postgres
Port 2222
IdentityFile ~/.ssh/id_ed25519_prod</pre>
<blockquote>💡 '''Pourquoi on ne force pas les suites cryptographiques (<code>Ciphers</code>, <code>MACs</code>, <code>KexAlgorithms</code>) ?''' 
Les versions modernes d’OpenSSH choisissent automatiquement des algorithmes sûrs et à jour. Figer ces listes peut '''casser des connexions''' ou te '''priver d’améliorations''' de sécurité à l’avenir. Ne les borne que si tu as une politique formelle ou un audit qui l’exige.
</blockquote>

-----

=== 🛡️ Guide pas-à-pas : sécuriser & tester ===

==== 0) Préparer l’environnement et les droits ====

<syntaxhighlight lang="bash">mkdir -p ~/.ssh/ctl
chmod 700 ~/.ssh ~/.ssh/ctl
touch ~/.ssh/config ~/.ssh/known_hosts
chmod 600 ~/.ssh/config ~/.ssh/known_hosts</syntaxhighlight>

==== 1) Générer des clés modernes et protégées par passphrase ====

<syntaxhighlight lang="bash"># Clé générale
ssh-keygen -t ed25519 -a 100 -f ~/.ssh/id_ed25519 -C "john@$(hostname -f)"

# Clés dédiées (meilleure hygiène : une clé par usage)
ssh-keygen -t ed25519 -a 100 -f ~/.ssh/id_ed25519_bastion -C "bastion"
ssh-keygen -t ed25519 -a 100 -f ~/.ssh/id_ed25519_intra -C "intra"
ssh-keygen -t ed25519 -a 100 -f ~/.ssh/id_ed25519_github -C "github"
chmod 600 ~/.ssh/id_ed25519*</syntaxhighlight>
<blockquote><code>-a 100</code> renforce la dérivation de la passphrase (plus résistant au brute-force).
</blockquote>
==== 2) '''Pinner''' les hôtes (pré-semer <code>known_hosts</code>) '''avant''' la 1re connexion ====

<ol style="list-style-type: decimal;">
<li>Obtiens les empreintes publiques '''par un canal de confiance''' (fiche d’exploitation, document interne, site officiel du fournisseur, ou administrateur).</li>
<li>Ajoute-les '''sans te connecter''' :
<syntaxhighlight lang="bash"># Exemple pour un hôte avec clé ed25519
ssh-keyscan -t ed25519 bastion.exemple.org | tee -a ~/.ssh/known_hosts
ssh-keyscan -t ed25519 github.com | tee -a ~/.ssh/known_hosts</syntaxhighlight></li>
<li>Vérifie les empreintes localement :
<syntaxhighlight lang="bash">ssh-keygen -lf ~/.ssh/known_hosts | grep -E 'bastion\.exemple\.org|github\.com'</syntaxhighlight>
Compare avec la source officielle '''avant''' d’autoriser la connexion.</li></ol>

<blockquote>Si tu ne peux pas pré-semer, laisse <code>StrictHostKeyChecking yes</code> et saisis-toi de la première empreinte '''uniquement après''' vérification hors bande.
</blockquote>
==== 3) Charger une clé dans l’agent '''à la demande''' ====

<syntaxhighlight lang="bash"># Démarrer l'agent si besoin
eval "$(ssh-agent -s)"

# Ajouter la clé avec demande de passphrase
ssh-add ~/.ssh/id_ed25519_bastion
# Avec confirmation à chaque utilisation (plus sûr) :
ssh-add -c ~/.ssh/id_ed25519_bastion</syntaxhighlight>
<blockquote>Comme <code>ForwardAgent no</code>, l’agent n’est '''pas''' exposé au serveur distant.
</blockquote>
==== 4) Tester la configuration et diagnostiquer ====

<syntaxhighlight lang="bash"># Voir la config effective (utile pour déboguer)
ssh -G bastion | less

# Connexion verbeuse
ssh -vvv bastion

# Test GitHub sans exécuter de commande (échange SSH uniquement)
ssh -T git@github.com</syntaxhighlight>
==== 5) Bonnes pratiques complémentaires ====

* '''Une clé privée par contexte sensible''' (prod ≠ dev ≠ perso).
* '''Rotation''' : change périodiquement les clés (<code>ssh-keygen -p</code> pour changer la passphrase).
* '''Sauvegarde chiffrée''' des clés privées (jamais en clair).
* '''Isolation des empreintes''' : utilise un <code>UserKnownHostsFile</code> séparé pour les environnements (ex: <code>known_hosts_intra</code>, <code>known_hosts_prod</code>).
* '''Multiplexage''' : purge le dossier <code>~/.ssh/ctl/</code> si tu soupçonnes une session bloquée.
* '''Éviter <code>StrictHostKeyChecking no</code>''' : préfère <code>yes</code>. Si tu dois assouplir ponctuellement : <code>ssh -o StrictHostKeyChecking=accept-new host</code> '''une seule fois''' après vérification.

-----

=== 🧪 Check-list rapide ===

* ☐ <code>~/.ssh</code> en '''700''', fichiers en '''600''' 

* ☐ Clés '''ed25519''' avec '''passphrase''' 

* ☐ <code>StrictHostKeyChecking yes</code>, empreintes '''pré-semées''' et vérifiées 

* ☐ <code>IdentitiesOnly yes</code>, <code>ForwardAgent no</code> 

* ☐ <code>ProxyJump</code> pour segmenter l’accès (bastion) 

* ☐ Test avec <code>ssh -G</code>, <code>ssh -vvv</code> et <code>ssh -T git@github.com</code>

-----
[[Catégorie: Linux]]

Client SSH - Historique des versions

Geo le 6 octobre 2025 à 07:00