Bonjour Alain, Je te joints à ce mail mon tuto pour l'installation/configuration de ssh, ainsi que l'installation de Fail2Ban. Avec cette configuration tu seras à l'abris des "boots" qui tentent de détecter les accès SSH peu sécurisés (mot de passe en root uniquement) sur le port 22. Il y a toujours plus à faire, mais c'est déjà le basique pour moi à appliquer. Lors de ma première utilisation de ssh (port 22 + mot de passe assez simpliste), il n'avait fallu que 3h à un boot pour accéder à mon ssh!
* Installation d’open-ssh ================================================= $ sudo apt-get install ssh Il est déjà possible de se connecter à son pc à distance. Il vous faudra juste connaître votre ip (un ifconfig dans le terminal vous donnera l’adresse). - pour tester à distance lancez : ssh Utilisateur@votre-adresse-ip - pour tester localement lancez : ssh Utilisateur@localhost -p 22 Sécuriser son SSH face au attaques Sur le serveur dans /etc/ssh/sshd_config: - ajoutez : PermitEmptyPasswords no - ajoutez : PermitRootLogin no - mettez : UsePAM no - uniquement après avoir créer le jeu de clef changez : changez le port 22 pour un autre port comme 15043 - uniquement après avoir créer le jeu de clef changez : PasswordAuthentication no - changez en Protocol 2 - ajouter MaxStartups 10:30:100 30% des connexions de l’intru seront bloquées après la 10ième tentive. Ce taux augmentera jusqu’à 100%. - redémarrez ssh avec : sudo /etc/init.d/ssh restart Créer une clef publique et privée - lancez dans le terminal la commande (pas en root!!): $ ssh-keygen La clef public est dans /home/Utilisateur/.ssh/id_rsa.pub et la clef privée dans /home/Utilisateur/.ssh/id_rsa Envoyer sa clef publique sur l’ordi distant - lancez dans le terminal la commande : $ ssh-copy-id -i ~/.ssh/id_rsa.pub user@machine - redémarrez ssh avec : $ sudo /etc/init.d/ssh restart - connectez vous à votre machine distante : $ ssh Utilisateur@votre-adresse-ip -p 15043* * * * * *Installation de Fail2ban =================================================* * Fail2ban permet de mettre en prison les IP attaquant par la technique de force brute. $ sudo apt-get install fail2ban Puis activez fail2ban suivant vos services web dans $ sudo nano /etc/fail2ban/jail.com [ssh] enabled = true port = ssh,sftp,15043 *
