SSH est génial, car il nous permet de gagner un terminalaccès à d'autres PC et serveurs Linux via le réseau, ou même Internet! Pourtant, aussi incroyable que soit cette technologie, il existe des problèmes de sécurité évidents qui rendent son utilisation dangereuse. Si vous êtes un utilisateur moyen, il n'est pas vraiment nécessaire d'installer des outils de sécurité SSH compliqués. Au lieu de cela, envisagez de suivre ces étapes de base pour sécuriser un serveur SSH sous Linux.
Modifier le port de connexion par défaut
De loin le moyen le plus rapide et le plus simple deLe serveur SSH doit changer le port qu'il utilise. Par défaut, le serveur SSH s'exécute sur le port 22. Pour le modifier, ouvrez une fenêtre de terminal. À l'intérieur de la fenêtre du terminal, connectez SSH au PC distant hébergeant le serveur SSH.
ssh user@local-ip-address
Une fois connecté, passez d'un utilisateur normal à Root. Si vous avez le compte Root, connectez-vous avec su est un bon choix. Sinon, vous devrez avoir accès à sudo.
su -
ou
sudo -s
Maintenant que vous avez un accès administrateur, ouvrez le fichier de configuration SSH dans Nano.
nano /etc/ssh/sshd_config
Faites défiler le fichier de configuration pour «Port 22». Retirer le # s'il y en a un, alors changez “22 ″ vers un autre numéro. En règle générale, un port supérieur à 100, voire un dans la plage de 1 000 suffira. Après avoir changé le numéro de port, appuyez sur Ctrl + O combinaison de touches pour enregistrer les modifications. Ensuite, quittez l'éditeur en appuyant sur Ctrl + X.
La modification du fichier de configuration ne fera pas basculer immédiatement votre serveur SSH vers le bon port. À la place, vous devrez redémarrer manuellement le service.
systemctl restart sshd
L'exécution de la commande systemctl devrait redémarrer le démon SSH et appliquer les nouveaux paramètres. Si le redémarrage du démon échoue, une autre option consiste à redémarrer votre machine serveur SSH:
reboot
Après avoir redémarré le démon (ou la machine), SSH ne sera pas accessible via le port 22. Par conséquent, la connexion via SSH nécessite de spécifier manuellement le port.
Remarque: assurez-vous de changer «1234» avec le port défini dans le fichier de configuration SSH.
ssh -p 1234 user@local-ip-address
Désactiver la connexion par mot de passe
Un autre excellent moyen de sécuriser un serveur SSH consiste àsupprimer la connexion par mot de passe et passer à la connexion à la place via les clés SSH. Suivre la route de la clé SSH crée un cercle de confiance entre votre serveur SSH et les machines distantes qui ont votre clé. C'est un fichier de mot de passe chiffré difficile à déchiffrer.
Configurer avec une clé SSH sur votre serveur. Une fois les clés configurées, ouvrez un terminal et ouvrez le fichier de configuration SSH.
su -
ou
sudo -s
Ensuite, ouvrez la configuration dans Nano avec:
nano /etc/ssh/sshd_config
Par défaut, les serveurs SSH gèrent l'authentification viale mot de passe de l'utilisateur. Si vous avez un mot de passe sécurisé, c'est une bonne solution, mais une clé SSH chiffrée sur les machines de confiance est plus rapide, plus pratique et plus sûre. Pour terminer la transition vers la «connexion sans mot de passe», consultez le fichier de configuration SSH. Dans ce fichier, faites défiler et recherchez l'entrée qui dit "PasswordAuthentication".
Supprimez le symbole # devant «PasswordAuthentication» et assurez-vous qu'il a le mot «no» devant. Si tout semble correct, enregistrez les modifications dans la configuration SSH en appuyant sur Ctrl + O sur le clavier.
Après avoir enregistré la configuration, fermez Nano avec Ctrl + Xet redémarrez SSHD pour appliquer les modifications.
systemctl restart sshd
Si vous n'utilisez pas systemd, essayez plutôt de redémarrer SSH avec cette commande:
service ssh restart
La prochaine fois qu'une machine distante tentera de se connecter à ce serveur SSH, elle vérifiera les clés correctes et les laissera entrer, sans mot de passe.
Désactiver le compte racine
La désactivation du compte racine sur votre serveur SSH estun moyen d'atténuer les dommages qui peuvent survenir lorsqu'un utilisateur non autorisé accède à SSH. Pour désactiver le compte Root, il est impératif qu'au moins un utilisateur sur votre serveur SSH puisse obtenir Root via sudo. Cela garantira que vous pouvez toujours accéder au niveau du système si vous en avez besoin, sans le mot de passe root.
Remarque: assurez-vous que les utilisateurs qui peuvent accéder aux privilèges root via sudo ont un mot de passe sécurisé, ou désactiver le compte superutilisateur est inutile.
Pour désactiver Root, élevez le terminal aux privilèges de superutilisateur:
sudo -s
L'utilisation de sudo -s contourne la nécessité de se connecter avec suet accorde à la place un shell racine via le fichier sudoers. Maintenant que le shell dispose d'un accès superutilisateur, exécutez le mot de passe commander et brouiller le compte racine avec -fermer à clé.
passwd --lock root
L'exécution de la commande ci-dessus brouille le mot de passe du compte racine afin que la connexion via su est impossible. Désormais, les utilisateurs peuvent uniquement se connecter en tant qu'utilisateur local, puis basculer vers un compte racine via les privilèges sudo.
commentaires