MyDeb

Mon Linux, je le partage

Administration Réseaux Tutoriaux 

Sécuriser le démon SSH

Gawindx , ,

Par défaut, le démon SSH vous permet de vous connecter sur le port 22. Ce port étant connu, il peut rapidement être attaqué afin de s’introduire sur le serveur. De plus, il n’y a pas par défaut de restriction sur les utilisateurs.

Dans les lignes qui vont suivre, nous verrons comment remédier à ces problèmes, et nous verrons également d’autres astuces pour rendre le démon SSH le plus sûr possible.

 

  • Fichier de configuration de SSH

Toute la configuration de SSH est basé dans le fichier « /etc/ssh/sshd-config« , toutes les modifications qui suivront nécessiteront donc d’éditer ce fichier.

nano /etc/ssh/sshd_config
  • Modification du port par défaut

Recherchez la ligne « Port 22 » et modifiez le numéro du port. Exemple:

Port 222
  • Restreindre les interfaces d’écoute du démon

Si vous ne souhaitez pas que le démon écoute sur toutes les interfaces, modifiez/dé-commentez la ligne « ListenAddress« . Exemple:

ListenAddress 192.168.0.1

Il est possible de spécifiez le port d’écoute sur l’interface à ce niveau. exemple:

ListenAddresse 192.168.0.1:222
  • Empêcher les connexions root

Pour des raisons de sécurité évidentes, il est possible d’interdire à l’utilisateur root de se connecter en SSH. Les actions nécessitant les droits root devront alors être exécutées par un autre biais tel que su ou sudo.

Pour cela modifiez la ligne suivante :

PermitRootLogin no
  • Forcer le protocole Version 2

Le protocole version 1 comportant certaines failles, assurez vous que votre fichier comporte la ligne « Protocole 2 »

  • Restreindre les utilisateurs autorisé à se connecter.

Il est possible de limiter les utilisateurs autorisé à se connecter en spécifiant la liste à la ligne « AllowUsers« . Exemple, pour autoriser « utilisateur1 » et « utilisateur2 », la ligne devra être la suivante :

AllowUsers utilisateur1 utilisateur2
  • Interdire les mots de passe vierges

Par sécurité, vous pouvez interdire les mots de passe vierges en fixant la ligne « PermiEmptyPasswords » à « no »

PermitEmptyPasswords no
  • Redémarrage du service SSH

Une fois ces modification effectuée, vous devrez redémarrer le démon SSH par la commande suivante:

service ssh restart

 

IMPORTANT : Si votre serveur comporte un pare-feu, veillez à autoriser le nouveau port d’écoute dans les régles de filtrages sinon, vous serez dans l’incapacité de vous connecter depuis l’extérieur de votre réseau.

 

Gawindx
Les derniers articles par Gawindx (tout voir)
Gawindx

Gawindx

Passionné de l'outil informatique dès mon plus jeune âge (j'ai commencé sur un MO5), je mets mes compétences au service de la communauté. Je "flirte" avec Linux depuis 2005 et j'ai complétement basculé dans le libre depuis plus de 3 ans.