renforcement serveur SSH en forcant les algos récents (selon mozilla)

environment.nix

@@ -22,6 +22,7 @@
       gnupg         # GPG
       gpm           # prise en charge de la souris en console
       htop          # monitoring
+      #libressl      # librairie pour faire du TLS et les algorithmes de crypto par OpenBSD
       ncdu          # outil pour voir l'espace utilisé
       nmap          # outil de scan de port réseau
       mtr           # outil de diagnostic réseau

services.nix

@@ -13,6 +13,19 @@
   ## OpenSSH daemon
   services.openssh = {
     enable = true;
+    # https://wiki.mozilla.org/Security/Guidelines/OpenSSH#Modern_.28OpenSSH_6.7.2B.29
+    extraConfig = ''
+      KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256
+      Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
+      MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
+
+      # LogLevel VERBOSE logs user's key fingerprint on login. Needed to have a clear audit track of which key was using to log in.
+      LogLevel VERBOSE
+
+      # Use kernel sandbox mechanisms where possible in unprivilegied processes
+      # Systrace on OpenBSD, Seccomp on Linux, seatbelt on MacOSX/Darwin, rlimit elsewhere.
+      UsePrivilegeSeparation sandbox
+    '';
   };
 
   # Monitoring