Configurer et sécuriser l'accès SSH

Voici quelques bases pour configurer et sécuriser un accès SSH.

Changer son mot de passe Root

  • Se connecter à son serveur flambant neuf en SSH au port 22 avec Putty par exemple.
  • Une fois connecté entrez la commande suivante :
passwd root

Attention, conservez votre mot de passe et ne le communiquez pas !

Mettre à jour le distribution

aptitude update
aptitude upgrade

Mise en place de sudo

Sudo permet d’attribuer les droits d'administrateur à un groupe ou à utilisateur sans qu'il soit root.

Installation

Pour l'installer, il faut se connecter en root :

aptitude install sudo

Une fois installé éditer le fichier en tapant

visudo

Remplacer ensuite la ligne

%sudo ALL=(ALL) ALL 

par

%sudo ALL=(root) ALL

Ensuite, Ctrl+X pour quitter et O pour confirmer

Créer un nouvel utilisateur

Maintenant il vous faut créer un utilisateur qui fera parti du groupe sudo et qui aura donc les droits d'administration

adduser nom_utilisateur

Répondre au questionnaire et maintenant on ajoute l'utilisateur au groupe sudo

usermod -G sudo nom_utilisateur

Maintenant on se déconnecte

logout

Désactivation du compte root

On se reconnecte avec le nouvel utilisateur créé et l'on désactive le compte root pour éviter qu'il ne soit utilisé.

sudo passwd -l root

Configurer SSH

Afin de brouiller un peu les pistes, nous allons changer le port du serveur SSH, en limiter les connexions, et forcer l'utilisation d'un couple clé publique/privée pour l'authentification

Se connecter avec l'utilisateur précédemment créé faisant partie du groupe sudo et éditer le fichier de configuration SSH

sudo nano /etc/ssh/sshd_config

Dans ce fichier modifier le numéro de port Remplacer

Port 22

par

Port 12345 (ou n'importe quel numéro inférieur à 65535)

Désactiver le login root au travers de SSH, en remplaçant

PermitRootLogin yes

par

PermitRootLogin no 

Pour n'autoriser qu'un utilisateur, ajouter à la fin du fichier de configuration la ligne suivante :

AllowUsers mon_utilisateur

Ensuite on autorise uniquement l'authentification par clé en ajoutant la ligne

PasswordAuthentication no

Tout est fini, plus qu'à enregistrer le fichier de configuration

On ajoute maintenant notre clé SSH publique

mkdir ~/.ssh
chmod 700 ~/.ssh
nano ~/.ssh/authorized_keys

Il faut maintenant coller la clé SSH publique. On enregistre le fichier.

Maintenant, on reprotège le fichier des clés autorisées et l'on redémarre le service SSH.

chmod 600 ~/.ssh/authorized_keys
sudo /etc/init.d/ssh restart

ATTENTION : Ne surtout pas fermer la session ouverte. Ouvrir une nouvelle session sur le nouveau port SSH et tester !

  • Partager le signet (social bookmarking)
  • Partager "Configurer et sécuriser l'accès SSH" sur del.icio.us
  • Partager "Configurer et sécuriser l'accès SSH" sur Digg
  • Partager "Configurer et sécuriser l'accès SSH" sur blogmarks
  • Partager "Configurer et sécuriser l'accès SSH" sur Google
  • Partager "Configurer et sécuriser l'accès SSH" sur Facebook
  • Partager "Configurer et sécuriser l'accès SSH" sur Twitter