Meilleures pratiques de sécurité OpenSSH

SSH (Secure Shell) est un protocole réseau cryptographique pour initier des sessions shell basées sur du texte sur des machines distantes de manière sécurisée.

OpenSSH est le client et le serveur SSH standard utilisés par la plupart des distributions Linux. C’est un outil de connectivité sur lequel la plupart des administrateurs comptent pour travailler sur leurs serveurs Linux et *BSD. OpenSSH crypte tout le trafic (y compris les mots de passe) pour éliminer efficacement l’écoute clandestine, le détournement de connexion et d’autres attaques. En d’autres termes, “OpenSSH garantit que la connexion à votre serveur est sécurisée”. Consultez l’article de Wikipédia pour un aperçu détaillé sur SSH.

Ce tutoriel couvre les meilleures pratiques pour configurer votre serveur SSH de manière sécurisée.

Sécurité OpenSSH

Voici les six tâches les plus importantes pour sécuriser la configuration de votre serveur SSH :

1. Utilisez un mot de passe fort.
2. Changez le port par défaut de SSH.
3. Utilisez toujours la version 2 du protocole.
4. Désactivez la connexion root.
5. Limitez l’accès des utilisateurs.
6. Utilisez l’authentification par clé.

Utilisez un mot de passe fort

Un mot de passe est un mot ou une chaîne de caractères utilisés pour l’authentification de l’utilisateur afin de prouver l’identité ou l’approbation d’accès pour accéder à une ressource. Gardez-le secret des personnes qui ne sont pas autorisées à accéder au serveur. Utilisez un mot de passe complexe et long, il doit être facile à retenir et unique pour vous mais pas facile à deviner pour les autres. N’utilisez pas admin123 ou admin etc. qui sont faciles à deviner et n’utilisez pas de dates de naissance, le nom de votre femme, etc. Un bon mot de passe doit également contenir des caractères spéciaux comme ‘.!;/‘ (pas seulement les caractères a-c et 0-9). Utilisez des caractères majuscules et minuscules dans le mot de passe.

Changez le port par défaut de SSH

Le port par défaut du service SSH est 22, vous devriez le changer pour rendre moins évident que votre serveur exécute un service SSH. Le fichier de configuration SSH est situé dans le répertoire /etc/sshd/, vous devez éditer le fichier de configuration /etc/ssh/sshd_config.

nano /etc/ssh/sshd_config

Recherchez la ligne “Port” :

Port 22

et changez-la pour votre numéro de port préféré, exemple : 1337

Port 1337

Veuillez choisir un port qui n’est pas encore utilisé sur votre serveur. Vous pouvez obtenir une liste des ports actuellement utilisés avec la commande :

netstat -ntap

Cette commande donne une liste assez longue qui montre tous les ports et connexions ouverts. Si vous souhaitez simplement vérifier si votre port désiré est disponible, utilisez cette commande à la place :

netstat -ntap | grep 4422

Dans cet exemple, je vais vérifier si le port 4422 est libre. Si la commande ne retourne pas de résultat, alors le port est disponible et peut être utilisé pour SSH.

Utilisez toujours le protocole 2

SSH a deux versions de protocole, l’ancien protocole 1 qui est non sécurisé et le nouveau protocole 2. Donc, utilisez toujours le protocole 2 pour votre serveur SSH, il est plus sécurisé que le protocole 1. Plus d’infos ici.

Désactivez la connexion root

Vous devriez désactiver la connexion directe pour l’utilisateur root car il y a de nombreuses attaques par force brute contre le nom de l’utilisateur superutilisateur root. IMPORTANT : testez la connexion SSH avec votre utilisateur non-root alternatif que vous prévoyez d’utiliser pour les connexions SSH avant de désactiver le compte root.

PermitRootLogin no

Après avoir défini “PermitRootLogin” sur “no”, vous ne pouvez plus vous connecter avec le compte root, même si vous utilisez le bon mot de passe pour l’utilisateur root.

Limitez les utilisateurs

Vous devriez ajouter un nouvel utilisateur pour vous connecter à votre serveur. Supposons que vous ayez créé les utilisateurs ruiko et mikoto pour vous connecter à votre serveur, vous pouvez alors ajouter la nouvelle ligne :

AllowUsers ruiko mikoto

dans /etc/ssh/sshd_config pour limiter l’accès SSH à ces utilisateurs.

Utilisez l’authentification par clé

Je vous recommande d’utiliser cette option car elle est très facile à configurer et plus sécurisée que l’authentification par mot de passe. Tout d’abord, vous devez créer une paire de clés publique-privée sur votre ordinateur local (bureau), j’utilise Linux pour la créer.

Vous pouvez créer la paire de clés publique/privée avec cette commande :

ssh-keygen -t rsa -b 4096

Cela créera 2 fichiers situés dans le répertoire ~/.ssh/, id_rsa comme clé privée et id_rsa.pub comme clé publique. S’il vous demande un mot de passe, vous pouvez laisser vide ou taper votre mot de passe. Il est recommandé d’utiliser un mot de passe pour protéger votre clé.

Maintenant, téléchargez la clé publique id_rsa.pub sur votre serveur avec la commande ssh-copy-id.

ssh-copy-id -i ~/.ssh/id_rsa.pub user@serverip

Cela écrira automatiquement votre clé publique dans le fichier ~/.ssh/authorized_keys/ sur votre serveur.

Maintenant, retournez sur votre serveur et éditez à nouveau votre fichier de configuration ssh.

nano /etc/ssh/sshd_config

Décommentez cette ligne :

AuthorizedKeysFile     %h/.ssh/authorized_keys

et enfin redémarrez votre serveur ssh :

systemctl restart sshd

Maintenant, essayez de vous connecter à votre serveur :

ssh -p '4422' 'user@serverIP'

Conclusion

OpenSSH est le standard pour un accès distant sécurisé aux serveurs *Unix-like, remplaçant le protocole telnet non crypté. SSH (et son sous-protocole de transfert de fichiers SCP) garantit que la connexion de votre ordinateur local au serveur est cryptée et sécurisée. L’installation de base d’OpenSSH est déjà assez sécurisée, mais nous pouvons l’améliorer en suivant le guide ci-dessus.