Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).


L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT → ODT PDF Export

ssh-server : autoriser les connexions extérieures de manière sécurisée

Nota :

Contributeurs, les FIXME sont là pour vous aider, supprimez-les une fois le problème corrigé ou le champ rempli !

Installation

apt-get update && apt-get install openssh-server

Configuration

La configuration par défaut est très bonne.
Si vous voulez la personnaliser, il vous faut éditer le fichier /etc/ssh/sshd_config :

nano /etc/ssh/sshd_config

Comme d'hab', plus d'infos dans le :

man sshd_config

Sécurisation

Jojo vous recommande de ne pas ouvrir cette connection SSH tel quelle sur le net… il y a des malins qui forcent le passage pour entrer chez vous en essayant des tetra…floppées de mots de passe courants ;-).

Donc si vous voulez exporter une session SSH via un PC a 18 000 km :-D de chez vous, restez prudents et sécurisez-la au maximum2) et en suivant les conseils suivants

Restreindre les connexions à SSH

Il suffit d'éditer le fichier sshd_config en root sur le PC distant. Le fichier se trouve dans le dossier /etc/ssh/

nano /etc/ssh/sshd_config

Puis de modifier les arguments suivants (le cas est pris pour une connexion uniquement par clé) :

Exemple de sshd_config
PermitRootLogin no # évite la connexion root « plus que recommandé »
RSAAuthentication yes # active la reconnaissance RSA
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys # va uniquement chercher la clé sur ce fichier
PasswordAuthentication no # désactive la connexion par mot de passe
PermitEmptyPasswords no # désactive les mots de passe vide
MaxStartups 1 # limite la connexion, normalement 6 par défaut
UsePAM no # désactive la connection par mot de passe
AllowUsers votrelogin secondlogin # restreint l'accès à votre login uniquement
DenyUsers test guest admin root snort apache nobody # interdire l'accès à certains users, pour les paranos...

Pour la ligne PasswordAuthentication no :

Dans un premier temps, laisser “# PasswordAuthentication yes” pour permettre la première connexion depuis ssh client, c'est-à-dire pour permettre la connexion par nom d'utilisateur et mot de passe lorsque aucune clé n'a été générée.

Puis lorsque la génération des clés asymétriques a été faite et que celles-ci ont été exportées et sont opérationnelles (la “passphrase” uniquement est demandée pour la connexion du client ssh au serveur ssh), on peut alors éditer à nouveau /etc/ssh/sshd_config pour mettre PasswordAuthentication no

Restreindre la connexion à un utilisateur

Moins de monde autorisé à se connecter via ssh, moins de risques il y aura…

AllowUsers monuserquipeutseconnecter

Il est possible de spécifier plusieurs utilisateurs ou un masque d'expression régulière, je vous laisse lire la doc pour un paramétrage plus fin

Restreindre la connexion à un groupe

dans le même esprit que le paramètre ci-dessus on peut autoriser directement tous les utilisateurs d'un groupe.

AllowGroups mongroupadmin

Les options qu'il est conseillé de changer dans un premier temps sont :

Le port

  • Le port 22 # C'est le port par défaut du service SSH

Nous allons le mettre ici à 10010

Port 10010

Une fois configuré il vous suffit de relancer SSH, à faire en root :

service ssh restart

Contrôler les logs

  • Dans tout les cas, il est important de regarder les logs de temps en temps. Les tentatives de connections infructueuses sont consignées dans /var/log/auth.log .
cat /var/log/auth.log | grep Invalid
  • logcheck

Bien paramétrer son firewall...

Fail2ban

apt-get install fail2ban

Le port knocking

TODO FIXME

Astuces

Accès depuis l'extérieur

  • Rediriger le port 22 de la freebox/livebox/whateverbox vers votre machine pour vous connecter chez vous depuis l'extérieur

TODO FIXME

Serveur de fichier sftp

  • Configuration de SSH comme serveur de fichier.

TODO FIXME

1) N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !
doc/reseau/ssh/serveur.txt · Dernière modification: 12/01/2016 17:21 par milou

Pied de page des forums

Propulsé par FluxBB