¶ Tutoriel pour Sécuriser les Connexions SSH : Pro et Novice, Tout le Monde Peut le Faire !
¶ Introduction
Que tu sois un pro de l'informatique ou un novice qui souhaite apprendre, ce tutoriel te guidera pas à pas pour sécuriser les connexions SSH de ton serveur. Nous allons faire en sorte que seuls quelques ordinateurs spécifiques puissent se connecter à ton serveur, changer le port par défaut (parce que, soyons honnêtes, tout le monde connaît le 22 !), et faire en sorte que le compte root ne puisse se connecter qu'avec des clés SSH (parce que la sécurité, c'est important).
Objectif
À la fin de ce tutoriel, tu auras un serveur SSH :
- Qui écoute sur un port inhabituel.
- Qui n'autorise que 3 adresses IP spécifiques.
- Dont l'utilisateur root ne peut se connecter qu'avec une clé SSH.
- Avec un maximum de sécurité tout en restant fonctionnel.
¶ Étape 1 : Se connecter au serveur SSH
Pour commencer, tu dois te connecter à ton serveur. Si tu es un pro, tu sais déjà comment faire. Si tu es novice, suis simplement cette commande :
ssh ton-utilisateur@ton-serveur-ip
Remplace ton-utilisateur par ton nom d'utilisateur et ton-serveur-ip par l'adresse IP de ton serveur.
¶ Étape 2 : Faire une sauvegarde (toujours une bonne idée !)
Avant de toucher quoi que ce soit, faisons une copie de sauvegarde du fichier de configuration SSH. C'est une étape super simple mais cruciale :
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
Si jamais quelque chose se passe mal, tu pourras revenir en arrière facilement.
¶ Étape 3 : Ouvrir le fichier de configuration SSH
Maintenant, on va entrer dans le vif du sujet. Pour cela, il faut ouvrir le fichier qui contient toutes les instructions pour SSH.
nano /etc/ssh/sshd_config
Ici, nano est notre éditeur de texte. Si tu préfères un autre (comme vi), vas-y !
¶ Étape 4 : Bloquer toutes les connexions par défaut
On commence par une étape de sécurité supplémentaire. On va dire à SSH de bloquer toutes les connexions par défaut :
Ajoute cette ligne tout en haut du fichier :
AllowUsers none
Cela signifie que personne ne peut se connecter… sauf ceux que tu autorises explicitement après cette directive !
¶ Étape 5 : Changer le port SSH
Tout le monde sait que SSH utilise le port 22 par défaut. Mais pour compliquer la vie des hackers, on va changer ça !
Cherche la ligne qui ressemble à ceci :
#Port 22
Remplace-la par :
Port 35500
On a choisi 35500, mais tu peux prendre un autre numéro entre 35000 et 40000. Ce petit changement rend ton serveur moins visible pour les curieux.
¶ Étape 6 : Autoriser uniquement certaines adresses IP
Maintenant, on va s'assurer que seuls trois ordinateurs spécifiques puissent se connecter à ton serveur. C'est un peu comme si tu donnais des clés à seulement trois personnes !
Ajoute ces lignes à la suite du fichier :
AllowUsers
root@192.168.1.10
user@192.168.1.20
user@192.168.1.30
- 192.168.1.10 : Adresse IP de ton ordinateur principal.
- 192.168.1.20 : Adresse IP de ton ordinateur secondaire.
- 192.168.1.30 : Adresse IP de secours.
Ces adresses IP sont fictives. Remplace-les par les adresses réelles que tu veux autoriser.
¶ Étape 7 : Sécuriser l'utilisateur root
L'utilisateur root est le plus puissant sur un serveur, alors on doit le protéger avec soin. Cherche cette ligne :
#PermitRootLogin prohibit-password
Remplace-la par :
PermitRootLogin without-password
Cela signifie que root ne peut se connecter que s'il utilise une clé SSH. Pas de clé, pas d'accès !
¶ Étape 8 : Désactiver les mots de passe pour tout le monde
Pour renforcer encore la sécurité, on va forcer tout le monde à utiliser des clés SSH au lieu de mots de passe :
PasswordAuthentication no
Ajoute cette ligne ou vérifie qu'elle est bien présente. Ainsi, personne ne pourra se connecter avec un mot de passe.
¶ Étape 9 : Autres petits ajustements de sécurité
Quelques autres petits réglages pour rendre ton serveur encore plus sûr :
Limiter les tentatives de connexion :
MaxAuthTries 3
Si quelqu'un essaie de se connecter et se trompe plus de trois fois, il sera bloqué !
Utiliser uniquement le protocole SSH version 2 :
Protocol 2
La version 1 est obsolète et moins sécurisée.
Désactiver des fonctionnalités inutiles :
Si tu n'as pas besoin de redirection de port ou d'affichage graphique :
AllowTcpForwarding no
X11Forwarding no
¶ Étape 10 : Sauvegarder et redémarrer SSH
Une fois que tu as fait tous ces changements, sauvegarde le fichier en appuyant sur Ctrl + X, puis Y pour confirmer et Entrée pour valider.
Ensuite, redémarre le service SSH pour appliquer tes changements :
systemctl restart sshd
¶ Étape 11 : Tester ta connexion
Avant de fermer ta session SSH actuelle, essaie de te reconnecter en utilisant le nouveau port et les restrictions que tu viens de configurer. Assure-toi que tout fonctionne comme prévu !
ssh -p 35500 ton-utilisateur@ton-serveur-ip
Si tout marche bien, félicitations ! Tu as sécurisé ton serveur SSH comme un pro !
Conclusion
Et voilà, que tu sois un expert ou un débutant, tu as maintenant un serveur SSH beaucoup plus sécurisé. Cette configuration rend ton serveur plus résistant aux attaques tout en te permettant de garder le contrôle total.
N'oublie pas : la sécurité, c'est l'affaire de tous, et avec ce tutoriel, tu as fait un grand pas pour protéger ton serveur !