Sécuriser SSH
Sécuriser ssh l’accès au serveur, éditons le fichier /etc/ssh/sshd_config. Nous allons changer le port de connexion par défaut pour éviter quelques attaques par bruteforce sur le port 22, qui est bien connu pour héberger ce service. N’oubliez pas de préciser ce nouveau port (dans Putty ou en ligne de commande ssh sous Linux) à la prochaine connexion.
# vim /etc/ssh/sshd_config
Port 55022 # Changer le port d'écoute par défaut 22 PermitRootLogin no # Ne pas permettre de login en root Protocol 2 # Protocole v2 AllowUsers user # N’autoriser qu’un utilisateur précis
Configurer l’intervalle d’inactivité
Pour éviter d’avoir une session SSH sans surveillance, vous pouvez définir un intervalle d’inactivité.Ouvrez votre fichier / etc / ssh / sshd_config et ajoutez la ligne suivante:
ClientAliveInterval 360 ClientAliveCountMax 0
Désactiver les mots de passe vides
Vous devez empêcher les connexions distantes à partir de comptes avec des mots de passe vides pour plus de sécurité. Ouvrez votre fichier / etc / ssh / sshd_config et mettez à jour la ligne suivante:
PermitEmptyPasswords noLimiter l’accès SSH des utilisateurs
Pour fournir une autre couche de sécurité, vous devez limiter vos connexions SSH uniquement à certains utilisateurs nécessitant un accès distant. De cette façon, vous minimiserez l’impact d’avoir un utilisateur avec un mot de passe faible.
Ouvrez votre fichier / etc / ssh / sshd_config pour ajouter une ligne ‘AllowUsers’, suivie de la liste des noms d’utilisateur, et séparez-les avec un espace:
AllowUsers user1 user2
Redémarrez le service SSH après ces modifications :
/etc/init.d/ssh restart
ou
service sshd restart
ou systemctl restart sshd