La sécurisation d’un serveur SSH est une étape importante pour protéger vos systèmes Linux contre les menaces potentielles. Avec l’augmentation des tentatives d’intrusion, il est essentiel d’adopter des pratiques efficaces pour réduire les risques. Dans cet article, nous vous présenterons des étapes simples et efficaces pour sécuriser un serveur OpenSSH sur une machine Linux.
Modifier le port par défaut pour sécuriser votre serveur SSH
Modifier le port par défaut du serveur SSH (généralement le 22) est une méthode à la fois simple et efficace pour sécuriser un serveur OpenSSH sur une machine Linux. Ainsi, vous diminuez les risques d’attaques par de scans de ports. En choisissant un port non standard, vous rendez la tâche plus difficile pour les hackers à la recherche de cibles vulnérables.
Voici les étapes à suivre pour remplacer le port par défaut.
- Éditer le fichier /etc/ssh/sshd_config :
- Trouver la ligne « # Port 22 », supprimer le « # » et modifiez le port, comme ci-dessous :
- Enregistrez le fichier, puis redémarrez le serveur SSH en utilisant la commande ci-dessous :
Désactiver la connexion super-utilisateur (root)
Autoriser la connexion root via SSH présente des risques considérables pour votre serveur. En effet, cet utilisateur la première cible des attaques par bruteforce. En désactivant cette option, vous obligez les utilisateurs à se connecter avec des utilisateurs ayant potentiellement beaucoup moins de droits de l’utilisateur root, ce qui renforce la sécurité de manière significative.
Premièrement, accéder au fichier de configuration en suivant les mêmes étapes que la première partie.
Ensuite, repérez la ligne « PermitRootLogin », et remplacez « yes » par « no », comme ci-dessous :
Terminez en redémarrant le serveur SSH.
Limiter les adresses IP autorisées pour sécuriser un serveur SSH.
Une autre méthode efficace pour sécuriser votre serveur SSH consiste à restreindre les adresses IP sur lesquelles le service SSH écoute, en utilisant la directive ListenAddress dans le fichier de configuration. Au lieu de permettre au serveur SSH d’écouter sur toutes les adresses IP, vous pouvez spécifier uniquement les adresses IP de confiance. Par exemple, nous pouvons faire un sorte que le serveur écoute uniquement sur l’adresse IP 192.168.1.100.
Premièrement, accédez au fichier de configuration SSH comme précédemment expliquer.
Repérer la ligne « #ListenAddress 0.0.0.0 », retirez le « # », puis, spécifier l’adresse IP de confiance comme ci-dessous :
Terminez en redémarrant le serveur SSH.
Conclusion
Ces trois méthodes simples sont déjà un bon point de départ pour sécuriser un serveur SSH sur une machine Linux. D’autres bonnes pratiques peuvent être judicieuses, comme par exemple désactiver complètement le login par mot de passe, et utiliser uniquement des clés privés et publiques.