Fiche pratique : SSH

SSH est  un protocole de communication permettant de se connecter à une machine distante. Il repose sur une architecture client serveur, un échange de clés de chiffrement en début de connexion et tout les segments TCP sont authentifiés et chiffrés.

L’interaction s’effectue au moyen d’une invite de commande, et la suite logiciel libre la plus populaire qui implémente ce protocole se nomme openssh.

Client

apt install openssh-client
Installation du client openssh

Une fois que vous avez installé et configuré le serveur ssh, vous pouvez alors vous y connecter de la façon suivante :

ssh -i ~/.ssh/mondomaine.tld user1@mondomaine.tld -p 1234
Connexion au serveur ssh

Serveur

apt install openssh-server
installation du serveur openssh

Sécurisation de base

La configuration du serveur openssh se trouve dans le fichier /etc/ssh/sshd_config. Éditez le en tant qu’administrateur puis remplacer les redéfinissez les paramètres suivants :

PermitRootLogin no
Empecher de se connecter directement en tant que root
Port 1234
Port personnalisé pour contrer les robots
LoginGraceTime 30
Limiter à 30s le temps que l'utilisateur à pour saisir le mot de passe de connexion
AllowUsers user1 user2
Utilisateurs autorisés à se connecter avec ssh

Pour appliquer les changement, nous redémarrons le service sshd

Authentification par clef

Un mot de passe c’est bien mais une clef privée chiffrée c’est mieux.

Durant le processus de génération de clefs une phrase de passe vous sera demandé. Bien qu’elle soit facultative vous devez en saisir une, car autrement la clef seule (sans mot de passe) permettra de vous authentifier sur le serveur SSH.
ssh-keygen -t rsa -b 4096 -f ~/.ssh/adressemachine.tld
Génération d'une paire de clefs RSA 4096 sur l'ordinateur
ssh-copy-id -i ~/.ssh/mondomaine.tld.pub user1@mondomaine.tld -p 1234
Copie de la clef publique sur le serveur distant
PasswordAuthentication no
Désactivation de l'authentification par mot de passe dans le fichier de configuration

Redémarrez une dernière fois sshd.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *