Conseils de sécurité SSH

Quelques conseils de sécurité sur un serveur Linux disposant d’un accès SSH.

Il y a deux fichier de conf dans /etc/ssh:

ssh_config est le fichier de conf pour le client SSH

sshd_config est le fichier de conf du daemon SSH et c’est celui-ci qu’il faut configurer.

Changer le port d’écoute par défaut

Il est intéressant de modifier le port pour des raisons de sécurité, en effet le port 22 par défaut est une cible de choix pour les attaques.

Vous pouvez par exemple mettre 2222 (utiliser la commande netstat pour voi si le port n’est pas déjà utilisé). De plus si vous avez un pare feu, ne pas oublier de créer une nouvelle règle pour accepter ce port sinon vous serez bloqués.

# What ports, IPs and protocols we listen for
Port 2222

Un outil de référence pour scanner les ports d’une machine: Nmap

Interdire la connexion directe en root

C’est à faire surtout sur un serveur connecté à internet et donc plus exposé. Il suffit de voir le nombre de tentatives de connexion en root sur un serveur  (voir dans le fichier log /var/log/auth.log)

Il faut donc mettre no  au lieu du yes parfois présent:

# Authentication:
PermitRootLogin no

Autoriser uniquement le protocole SSH 2

Le protocole 2 est plus sécurisé que le 1, donc si il y a autre chose que 2 à cette ligne, le modifier.

Protocol 2

 

 

Enfin on relance le daemon SSH pour que les changements soient pris en compte.

Une de ces commandes suivant l’OS utilisé:

/etc/init.d/sshd restart

service sshd restart

systemctl restart sshd

 

Voici par exemple un screen fait sur mon serveur (fresh install sans iptables, fail2ban etc) qui montre le nombre de tentatives de connexion SSH en à peine 10 minutes…. D’où l’importance de la sécurité.

screen-shot-09-17-16-at-04-16-pm

 

 

Sources:

https://www.linux.com/learn/advanced-ssh-security-tips-and-tricks

http://manpages.ubuntu.com/manpages/trusty/en/man5/sshd_config.5.html

http://www.frameip.com/liste-des-ports-tcp-udp/

http://man.openbsd.org/OpenBSD-current/man5/sshd_config.5

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s