Plus d’infos ici → Sécurité | Yunohost Documentation
ATTENTION VALABLE UNIQUEMENT AVEC ED25519
NE changez pas votre sshd_config si vous ne savez pas ce que vous faites
A adapter selon la sécurité que vous utilisez sur votre yunohost
Avec cette ligne en plus :
HostKeyAlgorithms ssh-ed25519,ssh-ed25519-cert-v01@openssh.com
Je suis A+ 100/100 
Donc résumé 
Modifier le sshd_config (et j’ai celui généré par yunohost avec juste une clé ed25519) avec cette commande :
nano /etc/ssh/ssd_config
puis on met les règles en silencieux en mettant un # devant chaque ligne :
KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
On ajoute ces lignes là :
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com
HostKeyAlgorithms ssh-ed25519,ssh-ed25519-cert-v01@openssh.com
On redemarre SSH
systemctl restart ssh
On teste : https://www.ssh-audit.com/ ou ssh-audit disponible dans les dépots debian 10 avec la commande ssh-audit adresseip:port -v
Une autre solution pour celles et ceux qui utilise X2GO
Mon score est de A+ 98/100
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-256,hmac-sha2-512
HostKeyAlgorithms ssh-ed25519,ssh-ed25519-cert-v01@openssh.com
Augmenter la sécurité :
Vous pouvez ajouter ou modifier →
Si vous utilisez une connexion par clé publique privé (consulter fr/SSH - Debian Wiki)
AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
LoginGraceTime 30
Le fait de définir une valeur (en secondes) inférieure permet d’éviter certaines attaques par déni de service lorsque plusieurs sessions d’authentification sont maintenues ouvertes pendant une période prolongée.
PermitRootLogin no
Se connecter en ROOT est interdit
StrictModes yes

PubkeyAuthentication yes
Authentification par clé publique (uniquement pour connection clé privé-publique)
PermitEmptyPasswords no
pas de mot de passe vide
PasswordAuthentication no
pas d’authentification par mot de passe
ChallengeResponseAuthentication no
KerberosAuthentication no
GSSAPIAuthentication no
UsePAM no
passwd utilise PAM pour authentifier les utilisateurs et modifier leur mot de passe
DebianBanner no
désactiver la bannière SSH verbeuse activée par défaut, car elle montre diverses informations sur votre système, telles que la version du système d’exploitation
-
Restreindre tous les utilisateurs à une adresse IP spécifique :
AllowUsers *@250.0.125.1
-
Restreindre tous les utilisateurs à une plage d’adresse IP spécifique :
AllowUsers *@250.0.125.0/24
-
Restreindre tous les utilisateurs à une plage d’adresse IP spécifique (en utilisant des jokers) :
AllowUsers *@250.0.125.*
-
Restreindre tous les utilisateurs à plusieurs adresses IP et à plusieurs plages spécifiques :
AllowUsers *@250.0.125.1 *@250.0.125.2 *@192.168.1.0/24 *@172.16.*.1
-
Interdire tous les utilisateurs à l’exception des utilisateurs nommés à partir d’adresses IP spécifiques :
AllowUsers asterix@250.0.125.1 obelix@250.0.125.2