Différences entre versions de « Accroître la sécurité de SSH »
(Page créée avec « Dès lors que cela est possible, il est vivement conseillé de modifier les identifiants par défaut ainsi que les ports par défaut des services critiques. Concernant S... ») |
|||
| (23 versions intermédiaires par 5 utilisateurs non affichées) | |||
| Ligne 1 : | Ligne 1 : | ||
| + | <span data-link_translate_fr_title="Accroître la sécurité de SSH" data-link_translate_fr_url="Accroître la sécurité de SSH"></span>[[:fr:Accroître la sécurité de SSH]][[fr:Accroître la sécurité de SSH]] | ||
| + | <span data-link_translate_he_title="להגביר את האבטחה של SSH" data-link_translate_he_url="%D7%9C%D7%94%D7%92%D7%91%D7%99%D7%A8+%D7%90%D7%AA+%D7%94%D7%90%D7%91%D7%98%D7%97%D7%94+%D7%A9%D7%9C+SSH"></span>[[:he:להגביר את האבטחה של SSH]][[he:להגביר את האבטחה של SSH]] | ||
| + | <span data-link_translate_ro_title="Creşte securitatea SSH" data-link_translate_ro_url="Cre%C5%9Fte+securitatea+SSH"></span>[[:ro:Creşte securitatea SSH]][[ro:Creşte securitatea SSH]] | ||
| + | <span data-link_translate_ru_title="Повысить безопасность SSH" data-link_translate_ru_url="%D0%9F%D0%BE%D0%B2%D1%8B%D1%81%D0%B8%D1%82%D1%8C+%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C+SSH"></span>[[:ru:Повысить безопасность SSH]][[ru:Повысить безопасность SSH]] | ||
| + | <span data-link_translate_pl_title="Zwiększenie bezpieczeństwa SSH" data-link_translate_pl_url="Zwi%C4%99kszenie+bezpiecze%C5%84stwa+SSH"></span>[[:pl:Zwiększenie bezpieczeństwa SSH]][[pl:Zwiększenie bezpieczeństwa SSH]] | ||
| + | <span data-link_translate_ja_title="SSH のセキュリティを高める" data-link_translate_ja_url="SSH+%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%92%E9%AB%98%E3%82%81%E3%82%8B"></span>[[:ja:SSH のセキュリティを高める]][[ja:SSH のセキュリティを高める]] | ||
| + | <span data-link_translate_ar_title="زيادة أمان SSH" data-link_translate_ar_url="%D8%B2%D9%8A%D8%A7%D8%AF%D8%A9+%D8%A3%D9%85%D8%A7%D9%86+SSH"></span>[[:ar:زيادة أمان SSH]][[ar:زيادة أمان SSH]] | ||
| + | <span data-link_translate_zh_title="提高 SSH 的安全性" data-link_translate_zh_url="%E6%8F%90%E9%AB%98+SSH+%E7%9A%84%E5%AE%89%E5%85%A8%E6%80%A7"></span>[[:zh:提高 SSH 的安全性]][[zh:提高 SSH 的安全性]] | ||
| + | <span data-link_translate_de_title="Erhöhen Sie die Sicherheit von SSH" data-link_translate_de_url="Erh%C3%B6hen+Sie+die+Sicherheit+von+SSH"></span>[[:de:Erhöhen Sie die Sicherheit von SSH]][[de:Erhöhen Sie die Sicherheit von SSH]] | ||
| + | <span data-link_translate_nl_title="Verhoging van de veiligheid van SSH" data-link_translate_nl_url="Verhoging+van+de+veiligheid+van+SSH"></span>[[:nl:Verhoging van de veiligheid van SSH]][[nl:Verhoging van de veiligheid van SSH]] | ||
| + | <span data-link_translate_it_title="Aumentare la sicurezza di SSH" data-link_translate_it_url="Aumentare+la+sicurezza+di+SSH"></span>[[:it:Aumentare la sicurezza di SSH]][[it:Aumentare la sicurezza di SSH]] | ||
| + | <span data-link_translate_pt_title="Aumentar a segurança do SSH" data-link_translate_pt_url="Aumentar+a+seguran%C3%A7a+do+SSH"></span>[[:pt:Aumentar a segurança do SSH]][[pt:Aumentar a segurança do SSH]] | ||
| + | <span data-link_translate_es_title="Aumentar la seguridad de SSH" data-link_translate_es_url="Aumentar+la+seguridad+de+SSH"></span>[[:es:Aumentar la seguridad de SSH]][[es:Aumentar la seguridad de SSH]] | ||
| + | <span data-link_translate_en_title="Increase the security of SSH" data-link_translate_en_url="Increase+the+security+of+SSH"></span>[[:en:Increase the security of SSH]][[en:Increase the security of SSH]] | ||
| + | |||
| + | {{#seo: | ||
| + | |title=Accroître la sécurité de SSH | ||
| + | |title_mode=append | ||
| + | |keywords=la sécurité de SSH | ||
| + | |description=Découvrez comment accroître la sécurité de SSH | ||
| + | |image=Uploaded_file.png | ||
| + | |image_alt=Wiki Logo | ||
| + | }} | ||
| + | |||
| + | ==la sécurité de SSH== | ||
| + | |||
Dès lors que cela est possible, il est vivement conseillé de modifier les identifiants par défaut ainsi que les ports par défaut des services critiques. | Dès lors que cela est possible, il est vivement conseillé de modifier les identifiants par défaut ainsi que les ports par défaut des services critiques. | ||
| − | Concernant SSH, nous allons voir ici quelques éléments qui permettront de renforcer la sécurité de ce service. | + | Concernant '''SSH''', nous allons voir ici quelques éléments qui permettront de renforcer la sécurité de ce service. |
| − | Dans le cadre de la rédaction de cet article, nous nous sommes basés sur une distribution de type Debian Jessie. Suivant celle en place sur votre | + | Dans le cadre de la rédaction de cet article, nous nous sommes basés sur une distribution de type Debian Jessie. Suivant celle en place sur votre {{Template:Serveur}}, la configuration peut être amenée à changer. Il faudra, par conséquent, adapter à vos besoins. |
| Ligne 19 : | Ligne 45 : | ||
| − | Si au delà de deux minutes les informations de connexion ne sont pas saisies lors d'une connexion en SSH à votre | + | Si au delà de deux minutes les informations de connexion ne sont pas saisies lors d'une connexion en SSH à votre {{Template:Serveur}}, la connexion est coupée. |
Cette durée peut être revue à la baisse (suivant la latence et la stabilité de votre connexion, bien sûr). | Cette durée peut être revue à la baisse (suivant la latence et la stabilité de votre connexion, bien sûr). | ||
Trente secondes peuvent être suffisantes. Afin de modifier cette valeur, nous allons modifier le paramètre ''LoginGraceTime''. | Trente secondes peuvent être suffisantes. Afin de modifier cette valeur, nous allons modifier le paramètre ''LoginGraceTime''. | ||
| Ligne 34 : | Ligne 60 : | ||
| − | Debian, par défaut toujours, ajoute une chaine de caractère à la bannière SSH. Pour faire simple, si vous effectuer un telnet vers votre | + | Debian, par défaut toujours, ajoute une chaine de caractère à la bannière SSH. Pour faire simple, si vous effectuer un telnet vers votre {{Template:Serveur}} (telnet IP_SERVER 22), voici ce que vous obtenez : |
<code> | <code> | ||
| Ligne 62 : | Ligne 88 : | ||
| − | Sachez que vous pouvez également mettre en place des restrictions par adresse IP pour votre service SSH (si votre | + | Sachez que vous pouvez également mettre en place des restrictions par adresse IP pour votre service SSH (si votre {{Template:Serveur}} n'est pas déjà derrière un pare-feu par exemple ou que vos règles iptables ne font pas déjà le nécessaire). |
| Ligne 74 : | Ligne 100 : | ||
| − | Ainsi, seules les adresses IP ''12.34.56.78'' et ''98.76.54.32'' seront autorisées à se connecter à voter | + | Ainsi, seules les adresses IP ''12.34.56.78'' et ''98.76.54.32'' seront autorisées à se connecter à voter {{Template:Serveur}} en SSH (remplacez par les adresses IP appropriées, bien évidemment). |
| Ligne 81 : | Ligne 107 : | ||
[[Catégorie:Serveur dédié]] | [[Catégorie:Serveur dédié]] | ||
[[Catégorie:Linux]] | [[Catégorie:Linux]] | ||
| + | [[Catégorie:Serveur VPS]] | ||
| + | <br /> | ||
| + | <comments /> | ||
Version actuelle datée du 1 janvier 2021 à 03:21
fr:Accroître la sécurité de SSH he:להגביר את האבטחה של SSH ro:Creşte securitatea SSH ru:Повысить безопасность SSH pl:Zwiększenie bezpieczeństwa SSH ja:SSH のセキュリティを高める ar:زيادة أمان SSH zh:提高 SSH 的安全性 de:Erhöhen Sie die Sicherheit von SSH nl:Verhoging van de veiligheid van SSH it:Aumentare la sicurezza di SSH pt:Aumentar a segurança do SSH es:Aumentar la seguridad de SSH en:Increase the security of SSH
la sécurité de SSH
Dès lors que cela est possible, il est vivement conseillé de modifier les identifiants par défaut ainsi que les ports par défaut des services critiques.
Concernant SSH, nous allons voir ici quelques éléments qui permettront de renforcer la sécurité de ce service.
Dans le cadre de la rédaction de cet article, nous nous sommes basés sur une distribution de type Debian Jessie. Suivant celle en place sur votre serveur, la configuration peut être amenée à changer. Il faudra, par conséquent, adapter à vos besoins.
Par défaut, pour vous connecter en SSH, vous devez établir une connexion sur le port 22. Modifier ce port peut déjà vous prémunir de bon nombre d'attaques par brute-force.
Si vous souhaitez utiliser SSH sur un autre port que celui par défaut, il vous faudra donc modifier Port 22 par Port 55555 dans le fichier /etc/ssh/sshd_config.
Afin de rendre les attaques par brute-force beaucoup moins efficaces, on peut également désactiver la connexion en SSH par le biais du compte root. Il faudra donc disposer d'un utilisateur autre que le compte par défaut et procéder à une élévation de privilèges depuis ce compte pour disposer des droits administrateur.
On va donc passer l'option associée de PermitRootLogin yes à PermitRootLogin no et déclarer les utilisateurs autorisés à se connecter. Pour autoriser l'utilisateur ikoula à se connecter en SSH, il faudra donc ajouter la ligne suivante dans le fichier de configuration : AllowUsers ikoula
Si au delà de deux minutes les informations de connexion ne sont pas saisies lors d'une connexion en SSH à votre serveur, la connexion est coupée.
Cette durée peut être revue à la baisse (suivant la latence et la stabilité de votre connexion, bien sûr).
Trente secondes peuvent être suffisantes. Afin de modifier cette valeur, nous allons modifier le paramètre LoginGraceTime.
Nous allons donc maintenant modifier la ligne LoginGraceTime 120 par LoginGraceTime 30 dans le fichier /etc/ssh/sshd_config.
Nous allons désormais modifier les algorithmes utilisés par SSH pour limiter l'utilisation à certains en ajoutant deux lignes supplémentaires dans le fichier de configuration du service SSH :
echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config
echo "MACs hmac-ripemd160" >> /etc/ssh/sshd_config
Debian, par défaut toujours, ajoute une chaine de caractère à la bannière SSH. Pour faire simple, si vous effectuer un telnet vers votre serveur (telnet IP_SERVER 22), voici ce que vous obtenez :
SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u2
Nous allons donc désactiver ce comportement afin de ne plus afficher le nom de notre distribution :
echo "DebianBanner no" >> /etc/ssh/sshd_config
Désormais, nous allons obtenir ceci :
SSH-2.0-OpenSSH_6.7p1
Les modifications sont terminées, nous allons donc redémarrer le service pour que les modifications soient effectives :
systemctl restart ssh.service
Sachez que vous pouvez également mettre en place des restrictions par adresse IP pour votre service SSH (si votre serveur n'est pas déjà derrière un pare-feu par exemple ou que vos règles iptables ne font pas déjà le nécessaire).
Nous allons donc interdire les connexions SSH à tout le monde et mettre une exception pour nos adresses IP :
echo "sshd: ALL" >> /etc/hosts.deny
echo "sshd: 12.34.56.78, 98.76.54.32" >> /etc/hosts.allow
Ainsi, seules les adresses IP 12.34.56.78 et 98.76.54.32 seront autorisées à se connecter à voter serveur en SSH (remplacez par les adresses IP appropriées, bien évidemment).
Vous pouvez également mettre en place une authentification par échange de clefs si vous le souhaitez.
Activer l'actualisation automatique des commentaires