====== OpenSSH ======


====Installation====
<code bash>
root$ urpmi openssh openssh-clients openssh-server
</code>




=====Paramétrage=====

====Créer sa paire clé publique/clé privée====

<code bash>
$ ssh-keygen -t dsa
#dsa est libre
#rsa est toujours sous instance de brevet...
</code>

====Connexion====

<code bash>
$ ssh -vCX user@host
# -v pour verbose
# -C pour compresser et crypter la longueur de la clé...
# -X pour exporter le X11
# emacs -display :0 pour ouvrir sur le serveur d'origine
</code>





====Paramétrage avec msec====

En mode de sécurité élevé avec Mandriva, le programme msec, le remet à jour, et tu te retrouves à chaque instant avec cette ligne dans /etc/hosts.deny

<code bash>
  #ALL:ALL EXCEPT 127.0.0.1:DENY
</code>

Solution éditer le fichier /etc/hosts.allow

<code bash>
# hosts.allow	This file describes the names of the hosts which are
#		allowed to use the local INET services, as decided
#		by the '/usr/sbin/tcpd' server.
#


sshd:  192.168.000.000/255.255.255.255 : allow
</code>

===Log===
<code bash>
sshd: ALL : twist = echo "%d de %u@%h - %c le `date` " >> /var/ssh/ssh.log
</code>





====Le fichier ssh_config====
le fichier ///etc/ssh/sshd_config//
<code bash>
HostName workshop
Port 22
ListenAddress 0.0.0.0
SyslogFacility AUTH
LogLevel INFO
PermitRootLogin no
AllowUsers toto
DenyUsers root
KeepAlive yes
PrintMotd no
PrintLastLog yes
AuthorizedKeysFile .ssh/authorized_keys2
PermitEmptyPasswords no
X11Forwarding yes
Compression yes
BatchMode no
ChallengeResponseAuthentication yes
NoHostAuthenticationForLocalhost yes
PubkeyAuthentication yes
</code>

=====Surfer dans un tunnel SSH=====
===Sur le Serveur===
Vérifier que dans le fichier **/etc/ssh/sshd_config** que vous avez les lignes 

  *X11Forwarding yes
  *AllowTcpForwarding yes
  *PermitTunnel yes
  *Compression yes

===En Local===

Configurer le navigateur pour qu'il passe par un proxy SOCKS (choisissez un port supérieur à 1024, par exemple 9999)

   sous linux : ssh -D 9999 user@host

   sous win : "putty" ajoutez le port source 9999 en dynamique


===== Limiter l'accès SSH par pays pour économiser de SSH Brute Force =====

<code>
# Installation de geoip
$ aptitude install geoip-bin geoip-database
# Création d'un script d'identification des pays par rapport à l'IP
$ nano /etc/sshfilter.sh
</code>

<code>
#!/bin/bash

# country codes to ACCEPT
ALLOW_COUNTRIES="FR"

if [ $# -ne 1 ]; then
  echo "Usage:  `basename $0` <ip>" 1>&2
  exit 0 # return true in case of config issue
fi

COUNTRY=`/usr/bin/geoiplookup $1 | awk -F ": " '{ print $2 }' | awk -F "," '{ print $1 }' | head -n 1`

[[ $COUNTRY = "IP Address not found" || $ALLOW_COUNTRIES =~ $COUNTRY ]] && RESPONSE="ALLOW" || RESPONSE="DENY"

logger "$RESPONSE sshd connection from $1 ($COUNTRY)"

if [ $RESPONSE = "ALLOW" ]
then
  exit 0
else
  exit 1
fi
</code>


<code>
$ chmod +x /etc/sshfilter.sh
$ nano /etc/hosts.deny
</code>

<code>
# Ajouter la ligne suivante
sshd: ALL
</code>


<code>
$ nano /etc/hosts.allow
</code>


<code>
# Ajouter la ligne suivante
sshd: ALL: aclexec /etc/sshfilter.sh %a
</code>

<code>
$ service ssh restart
$ tail -f /var/log/user.log
$ tail /var/log/syslog
</code>