durcissement cryptographique

Sélectionnez des suites modernes et réduisez la compatibilité aux besoins réels.

objectifs d’apprentissage

• Configurer Ciphers/MACs/KexAlgorithms.
• Tester avec nmap/ssh -Q.
• Surveiller les dépréciations.

prérequis

• Accès root au serveur.
• Connaissance des impacts clients.

notions clés

• chacha20-poly1305@openssh.com.
• aes128-gcm@openssh.com.
• curve25519-sha256.

démonstration guidée

étape 1

Lister les algorithmes supportés par votre client.

ssh -Q cipher
ssh -Q mac
ssh -Q kex

étape 2

Forcer des algorithmes côté serveur (exemple).

sudo tee -a /etc/ssh/sshd_config << 'EOF'
Ciphers chacha20-poly1305@openssh.com,aes128-gcm@openssh.com
MACs hmac-sha2-256-etm@openssh.com
KexAlgorithms curve25519-sha256
EOF
sudo systemctl reload sshd || true

exercice

Testez la connexion avec un client ancien et observez l’échec; ajustez si nécessaire.

correction

Ajustement minimal pour compatibilité.

# Ajouter temporairement aes256-ctr,hmac-sha2-256 si besoin

quiz éclair

1. Quel cipher moderne AEAD est recommandé ?

• a) chacha20-poly1305@openssh.com
• b) 3des-cbc
• c) arcfour

ressources

• OpenSSH release notes