Sécuriser un peu SSH

Dans notre configuration d’un serveur Debian, après avoir fait joujou avec la console, on va commencer les choses sérieuses en apportant de petites modifications à notre connexion SSH.

Créer un compte

Comme déjà dit, il est déconseillé d’utiliser le compte root pour diverses raisons, on créé alors un nouvel utilisateur et son mot de passe :

adduser jcdenis

On renseigne ou non les informations demandées, cela n’a pas d’importance :
create_user.png
Heu, jcdenis, c’est moi, pour l’exemple, alors mettez un autre login de préférence un peu bizarre, ou donnez moi le mot de passe de vote machine !
Il faut également donner les droits super utilisateur (ou su) à notre nouveau compte, pour cela on modifie le fichier des groupes :

nano /etc/group

On ajoute le nouveau compte à la ligne sudo :
add_to_sudo.png
Dorénavant on utilisera ce nouveau compte pour se connecter à la machine.

Modifier SSH

On va interdire de se connecter avec le compte root ce qui sera notre tout premier pas dans la sécurisation de notre serveur et on en profitera pour changer le port de connexion, notre deuxième pas dans la sécurisation. Pour cela on modifie le fichier de configuration de SSH :

nano /etc/ssh/sshd_config

edit_ssh_conf.png
Mettre un port au hasard comme par exemple 2425, 2030, et retenez le. Enfin pas trop au hasard non plus, certains sont déjà utilisés !
On pourrait également envoyer un petit mél à chaque fois que quelqu’un se connecte au compte root, on va d’abords ajouter notre adresse mél de redirection :

nano /etc/aliases

add_alias.png
On prend en compte la modification avec la commande :

newaliases

Puis on ajoute la commande d’envoi de mél à la fin du bash root :

nano /root/.bashrc

Ce qui donne un fichier bash dans ce style :

# ~/.bashrc: executed by bash(1) for non-login shells.

export LS_OPTIONS=’–colors=auto’
eval “`dircolors`”
alias ls=’ls $LS_OPTIONS’
alias ll=’ls $LS_OPTIONS -l’
alias l=’ls $LS_OPTIONS -lA’

echo “Acces au Shell Root :” `date` `who` | mail -s “`hostname` – Connexion shell” root — -f noreply@.org

On relance le bash :

. ~/.bashrc

On fera de même pour notre nouvel utilisateur :

nano /home/jcdenis/.bashrc

Test

Une fois modifié, on redémarre SSH :

/etc/init.d/ssh restart

On ouvre une nouvelle console sans oublier qu’on a changé de port de connexion, on teste qu’on ne peut plus se connecter directement avec l’utilisateur root, mais qu’on peut toujours avec notre nouveau compte et qu’on peut également utiliser la commande su suivi du mot de passe root :
login_as_root.png

On note au passage qu’on n’a rien configuré ou installé pour envoyer les mails, sendmail est déjà installé et pour ce qu’on veut faire de notre serveur il est inutile de chercher plus compliqué.

Au suivant

Tout à l’air de fonctionner, on va pouvoir passer à la phase suivante dans un prochain billet.

Atbildēt

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *