URL: https://linuxfr.org/forums/linux-debian-ubuntu/posts/securisation-de-ssh-activation-de-seccomp Title: Sécurisation de ssh : activation de seccomp Authors: lagou Date: 2020年08月01日T18:21:14+02:00 License: CC By-SA Tags: ssh, sécurisation, seccomp, séparation, debian et privilege Score: 3 Bonjour, J'essaye de me faire un serveur VPN. Avant, ça je souhaite configurer correctement la sécurité de son hôte. Je suis donc la note technique de configuration de _OpenSSH_ de l'_Anssi_. Il est indiqué que l'activation de _Seccomp_ est vivement recommandé. À la vérification, aucun des trois processus _sshd_ n'a _Seccomp_ d'activé avec _Seccomp_ à _0_ dans /proc/*/status [(voir ici)](https://wiki.mozilla.org/Security/Sandbox/Seccomp). L'activation explicite de _Seccomp_ par l'ajout de UsePrivilegeSeparation sandbox dans /etc/ssh/sshd_config (voir le guide OpenSSH de l'Anssi) ne change rien si ce n'est qu'un message dans les logs de _sshd_ apparaît indiquant que l'option UsePrivilegeSeparation est dépréciée. En effet, la séparation des privilèges est activé par défaut depuis 2002 et la séparation des privilèges par bac à sable depuis 2012 [(changelog de openssh 7.5)](https://www.openssh.com/txt/release-7.5). La version de OpenSSH qui tourne est la 7.9 mais ce comportement n'a pas dû changer depuis. Vérifions alors que OpenSSH a été compilé avec Seccomp. C'est le paquet de apt dans sa dernière version : 1:7.9p1-10+deb10u2 amd64. Pour connaître les options de compilation, une fois les sources du paquet téléchargés, [il faut regarder](https://unix.stackexchange.com/questions/15622/output-compiler-options-from-ssh) dans debian/rules. Il n'y a rien d'explicite concernant _Seccomp_ mais il est marqué : export DEB_BUILD_MAINT_OPTIONS := hardening=+all ce qui laisse à penser que _Seccomp_ est compilé avec _OpenSSH_. Une recherche pour en savoir plus sur DEB_BUILD_MAINT_OPTIONS indique qu'une série de patches concernant Seccomp ont bien fait leur chemin vers le paquet openssh de Debian : https://sources.debian.org/patches/openssh/1:7.9p1-10+deb10u2/ Seccomp devrait donc bien être activé et ce, par défaut. Pourquoi Seccomp est donc à 0 ? Dois-je penser à faire un rapport de bug à Debian ? L'OS est Debian 10 à jour.

AltStyle によって変換されたページ (->オリジナル) /