Bonjour,
J'ai un Vps avec Debian 10 dessus. Activer seccomp pour sécuriser SSH est préconisé par l'Anssi.
À la vérification, aucun des trois processus sshd n'a seccomp d'activé avec Seccomp à 0 dans /proc/*/status (source).
L'activation explicite de Seccomp par l'ajout de UsePrivilegeSeparation sandbox dans /etc/ssh/sshd_config (voir le guide OpenSSH de l'Anssi) ne change rien si ce n'est qu'un message dans les logs de sshd apparaît indiquant que l'option UsePrivilegeSeparation est déprécié.
En effet, la séparation des privilèges est activé par défaut depuis 2002 et la séparation des privilèges par bac à sable depuis 2012 (changelog de openssh 7.5). La version de openssh qui tourne est la 7.9 mais ce comportement n'a pas dû changer depuis.
Je ne m'explique donc pas la situation ni comment je peux la changer. Des idées ?
Bonne journée,
Rémi
J'ai voulu vérifier si OpenSSH avait été compilé avec Seccomp. C'est le paquet de apt dans sa dernière version : 1:7.9p1-10+deb10u2 amd64.
Pour connaître les options de compilation, une fois les sources du paquet téléchargés, https://unix.stackexchange.com/questions/15622/output-compiler-options-from-ssh il faut regarder dans debian/rules.
Il n'y a rien d'explicite concernant Seccomp mais il est marqué :
export DEB_BUILD_MAINT_OPTIONS := hardening=+all_
ce qui laisse à penser que Seccomp est compilé avec OpenSSH.
Une recherche pour en savoir plus sur DEB_BUILD_MAINT_OPTIONS indique qu'une série de patches concernant Seccomp ont bien fait leur chemin vers le paquet openssh de Debian : https://sources.debian.org/patches/openssh/1:7.9p1-10+deb10u2/
Seccomp devrait donc bien être activé et ce, par défaut. Pourquoi Seccomp est donc à 0 ?