• Objet : Créer un serveur ssh
• Niveau requis :

  avisé
• Commentaires : Administrer son serveur à distance, établir un tunnel sécurisé pour relayer des ports, etc…
• Débutant, à savoir : Utiliser GNU/Linux en ligne de commande, tout commence là !.
• Suivi :

  à-compléter, à-tester
  • Création par <vous> <date>
  • Testé par <…> le <…>
• Commentaires sur le forum : Lien vers le forum concernant ce tuto¹⁾

Contributeurs, les sont là pour vous aider, supprimez-les une fois le problème corrigé ou le champ rempli !

apt-get install openssh-server

La configuration par défaut est très bonne.
Si vous voulez la personnaliser, il vous faut éditer le fichier /etc/ssh/sshd_config :

nano /etc/ssh/sshd_config

Comme d'hab', plus d'infos dans le :

man sshd_config

Jojo vous recommande de ne pas ouvrir cette connection SSH tel quelle sur le net… il y a des malins qui forcent le passage pour entrer chez vous en essayant des tetra…floppées de mot de passes courants .

Donc si vous voulez exporter une session SSH via un PC a 18 000 km de chez vous, restez prudents et sécurisez-là au maximum²⁾ et en suivant les conseils suivants

Il suffit d'éditer le fichier sshd_config en root sur le PC distant. Le fichier se trouve dans le dossier /etc/ssh/

nano /etc/ssh/sshd_config

Puis de modifier les arguments suivant «le cas est pris pour une connection uniquement par clé» :

PermitRootLogin no # évite la connexion root « plus que recommandé »
RSAAuthentication yes # active la reconnaissance RSA
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys # va uniquement chercher la clé sur ce fichier
PasswordAuthentication no # désactive la connexion par mot de passe
PermitEmptyPasswords no # désactive les mots de passe vide
UsePAM no # désactive la connection par mot de passe
AllowUsers votrelogin secondlogin # restreint l'accès à votre login uniquement
DenyUsers test guest admin root snort apache nobody # interdire l'accès à certains users, pour les paranos...
MaxStartups 1 # limite la connexion, normalement 6 par défaut

Moins de monde autorisé à se connecter via ssh, moins de risques il y aura…

  AllowUsers **monuserquipeutseconnecter**

Il est possible de spécifier plusieurs utilisateurs ou un masque d'expression régulière, je vous laisse lire la doc pour un paramétrage plus fin

dans le même esprit que le paramètre ci-dessus on peut autoriser directement tous les utilisateurs d'un groupe.

  AllowGroups **mongroupadmin**

Les options qu'il est conseillé de changer dans un premier temps sont :

• Le port 22 # C'est le port par défaut du service SSH

Nous allons le mettre ici à 10010

  Port **10010**

Une fois configuré il vous suffit de relancer SSH, à faire en root :

service ssh restart

* Dans tout les cas, il est important de regarder les logs de temps en temps. Les tentatives de connections infructueuses sont consignées dans /var/log/auth.log .

cat /var/log/auth.log | grep Invalid

TODO

• Rediriger le port 22 de la freebox/livebox/whateverbox vers votre machine pour vous connecter chez vous depuis l'extérieur
• Configuration de SSH comme serveur de fichier.