Sécuriser votre accès SSH

apt-get install openssh-client openssh-server

Pour améliorer la sécuriter de votre serveur SSH, commencez par éditer le fichier /etc/ssh/sshd_config et modifier le port de connexion, désactiver la connexion avec l’utilisateur root et si vous le souhaitez paramétrer l’authentification par système de clef.

Pour modifier le port de connection (par exemple 4922):

Port 4922

Pour désactiver la connection via root en dé-commentant la ligne et spécifiant ‘no’ :

PermitRootLogin no

Pour activer les Clefs d’authentifications dé-commenter les lignes suivantes :

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

PasswordAuthentication no

Pour limiter le nombre d’utilisateur :

AllowUser Nom_Utilisateur1 Nom_Utilisateur2

Une fois les modifications effectués il ne reste plus qu’à redémarrer le service :

service ssh restart

Pour plus de sécurité, vous pouvez déterminer les machines du réseau autorisées à se connecter, il faut modifier les fichiers /etc/hosts.allow et /etc/hosts.deny et ajouter :

sshd : Ip/Netmask

Soit par exemple pour l’adresse ip 192.168.0.145 et le masque 255.255.255.0

sshd : 192.168.0.145/255.255.255.0
# ou encore pour tout autoriser :
sshd : All

Si vous utilisez les Clefs d’authentifications, vous devez penser à générer votre trousseau de Clef Publique/Privé :

ssh-ketgen -t rsa
(il est possible d’utiliser d’autre mode que rsa, par ex. dsa ou ecdsa)

Une passphrase/mot de passe vous est demandé lors de la génération des clefs et sera nécessaire pour vous connecter.

Gestion des Clefs d’authentification
Les clefs sont placées dans le répertoire ~/.ssh/

La clef privée ~/.ssh/id_rsa ne doit jamais être copié nul part. Elle doit rester strictement confidentielle.

La clef publique ~/.ssh/id_rsa.pub doit être copié sur les machines distantes ou vous souhaitez avoir accès.

La commande ssh-copy-id ou scp vous permet de copier les clefs directement sur les machines distantes :
ssh-copy-id -i .ssh/id_rsa.pub Utilisateur_distant@IP_distante
ou
scp .ssh/id_rsa.pub Utilisateur_distant@IP_distante :.ssh/id_rsa_hote1.pub

si vous avez modifier le port
ssh-copy-id -i .ssh/id_rsa.pub Utilisateur_distant@IP_distante:port

Soit par exemple :
ssh-copy-id -i .ssh/id_rsa.pub kenny@192.168.0.145
ou
ssh-copy-id -i .ssh/id_rsa.pub kenny@192.168.0.145:4922

Laisser un commentaire