Sécuriser SSH rapidement

Pourquoi ce tutoriel ?

SSH (Secure Shell) est le protocole le plus courant pour administrer un serveur à distance. Mal configuré, il devient une porte d’entrée facile pour les attaquants. Le sécuriser rapidement est essentiel pour éviter les intrusions.

1. Désactiver l’accès root direct

• Éditez le fichier /etc/ssh/sshd_config.

• Remplacez :
  PermitRootLogin yespar :
  PermitRootLogin no

• Redémarrez SSH : sudo systemctl restart sshd.

2. Utiliser des clés SSH plutôt que des mots de passe

• Sur votre poste :
  ssh-keygen -t ed25519

• Copier la clé publique sur le serveur :
  ssh-copy-id utilisateur@serveur

• Dans /etc/ssh/sshd_config, désactiver l’authentification par mot de passe :
  PasswordAuthentication no

3. Changer le port par défaut

• Dans /etc/ssh/sshd_config, modifier :
  Port 22en :
  Port 2222

• Redémarrer SSH et ouvrir le port dans le pare-feu.

4. Activer un pare-feu

• Exemple avec UFW :
  sudo ufw allow 2222/tcp
sudo ufw enable

5. Installer Fail2ban

• Protège contre les tentatives de connexion répétées.

• Installation :
  sudo apt install fail2ban

• Configuration par défaut protège déjà SSH.

6. Limiter les utilisateurs autorisés

• Dans /etc/ssh/sshd_config, ajouter :
  AllowUsers utilisateur1 utilisateur2

7. Cas pratique
Avant : Serveur SSH ouvert sur port 22, mot de passe faible, root accessible.
Après : Port 2222, connexion par clé uniquement, root désactivé, Fail2ban actif.

8. Bonnes pratiques

• Toujours faire une sauvegarde du fichier sshd_config avant modification.

• Tester la nouvelle configuration dans une session SSH parallèle pour éviter de perdre l’accès.

• Mettre à jour régulièrement le serveur.

Ressources utiles

• Documentation OpenSSH : https://www.openssh.com/

• Tutoriel Ubuntu : https://ubuntu.com/server/docs/service-openssh

• Fail2ban : https://www.fail2ban.org/