[/LoovtO.net]Accueil > Informatique > Systèmes d’exploitation > GNU/Linux > Debian > Etch > Installer et sécuriser votre SSH
Installer et sécuriser votre SSH
vendredi 27 juillet 2007, par
Au départ cet article ne concernait que le brute force sur SSH. Par la suite, j’ai aussi dû ajouter d’autres modifications. J’ai donc étendu le sujet de l’article à l’installation et aux modifications à effectuer pour protéger l’accès distant par SSH. Cet article reste une ébauche à compléter.
Pour effectuer ces opérations, il est nécessaire de disposer d’un compte ayant accès aux privilèges de superutilisateur.
Installer OpenSSH
~$ su
# apt-get install openssh-serverEmpêcher le brute force sur SSH
J’ai opté pour fail2ban.
Main Page - Fail2ban
Fonctionnement :
Au bout de 6 tentatives, le programme crée une règle dans iptables pour bannir l’IP pendant 10 minutes.
Installation sous Debian Etch :
# apt-get install fail2ban
Un article en ligne (et en anglais) sur fail2ban :
Fail2ban : an enemy of script-kiddies
Empêcher l’accès au compte root
La plupart des personnes qui tenteront une connexion sur SSH le feront avec le compte root. A moins qu’il ne s’agisse d’un de vos proches, l’attaquant ne devrait (en théorie) pas connaître votre login. En complément de fail2ban, l’interdiction de connexion du compte root minimise les possibilités d’intrusions via SSH.
1. Ouvrez un terminal
2. Ouvrez le fichier de configuration du démon SSH :
# nano /etc/ssh/sshd_config
3. Rechercher la ligne contenant :
PermitRootLogin
en utilisant les touches :
CTRL + W
Puis validez en tapant sur la touche Entrée.
4. Sur cette ligne, remplacez :
yes
par
no
5. Enregistrez à l’aide de la combinaison de touches :
CTRL + O
et confirmez avec la touche Entrée.
6. Quittez nano en faisant :
CTRL + X
7. Pour prendre en compte les modifications, redémarrez SSH :
# /etc/init.d/ssh restart
Dans tous les cas, aucune politique de sécurité n’est infaillible. Votre seule option est de minimiser les possibilités d’intrusion.