## Réseau # Changement du port d'écoute recommandé Port 22 # Désactivation du TCP Forwarding (permettant de créer un tunnel sur le serveur) # ⚠️ Un tunnel est toujours possible au départ d'un shell AllowTcpForwarding no # Ne pas autoriser X11 (Interface graphique au départ de SSH) X11Forwarding no ## Authentication # Refuser le login root PermitRootLogin no # Autoriser uniquement les logins nécessaire AllowUsers gary ## Sécurité # Désactivation du TCP Forwarding (permettant de créer un tunnel sur le serveur) # ⚠️ Un tunnel est toujours possible au départ d'un shell AllowTcpForwarding no # Ne pas autoriser X11 (Interface graphique au départ de SSH) X11Forwarding no # Limite le nombre de tentative d'authentification à 3 MaxAuthTries 3 # Nombre maximal de sessions ouvertes par une même connexion SSH # Note: Peut être augmenté en cas de problème avec Ansible ou SFTP MaxSessions 2 # Ne pas dépendre de TCP pour le Keep Alive TCPKeepAlive no # Nombre de message sans réponse du client avant déconnexion ClientAliveCountMax 2 # Empêche l'envoi de l'agent SSH vers le serveur # Note: Utile en cas de serveur compris mais impact les bastions AllowAgentForwarding no # Logging LogLevel VERBOSE # Logging SFTP Subsystem sftp /usr/lib/openssh/sftp-server -f AUTHPRIV -l INFO